Quando a LGPD se Aplica (e Quando Não): Arts. 3 e 4

Este post faz parte da série LGPD Comentada, que analisa todos os artigos da Lei Geral de Proteção de Dados. Veja todos os posts da série.

Uma das perguntas mais frequentes de DPOs, advogados e gestores de compliance é deceptivamente simples: a LGPD se aplica ao meu caso? A resposta está nos Artigos 3 e 4 da Lei 13.709/2018 — dois dispositivos que definem, respectivamente, o alcance territorial da lei e as situações em que ela não se aplica.

Entender essas regras é fundamental por dois motivos. Primeiro, porque a LGPD tem alcance extraterritorial: ela pode incidir sobre empresas sediadas em qualquer país do mundo, desde que tratem dados de pessoas localizadas no Brasil. Segundo, porque as exceções do Art. 4 são mais restritas do que aparentam — e interpretá-las de forma equivocada pode resultar em sanções.

Este artigo analisa cada dispositivo em detalhe, com transcrições do texto legal, casos concretos da ANPD e do Judiciário, e orientações práticas para organizações que precisam determinar se — e em que medida — a LGPD rege suas operações.

Art. 3 — O alcance territorial da LGPD

O Art. 3 da LGPD define o âmbito de aplicação da lei com uma amplitude deliberadamente ampla:

"Esta Lei aplica-se a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, desde que:

I – a operação de tratamento seja realizada no território nacional;

II – a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional; ou

III – os dados pessoais objeto do tratamento tenham sido coletados no território nacional."

Três aspectos merecem atenção antes de examinar cada inciso individualmente.

Primeiro, a lei fala em "qualquer operação de tratamento" — e o conceito de tratamento na LGPD é extremamente amplo (Art. 5, X), abrangendo coleta, armazenamento, consulta, uso, transmissão, eliminação e qualquer outra operação sobre dados pessoais. Isso significa que mesmo quem apenas armazena dados pessoais de brasileiros está sujeito à lei.

Segundo, a expressão "independentemente do meio" deixa claro que a LGPD incide sobre tratamentos digitais e analógicos. Formulários em papel, fichas cadastrais físicas, arquivos impressos — tudo está coberto.

Terceiro, a formulação "independentemente do país de sua sede ou do país onde estejam localizados os dados" é o fundamento da extraterritorialidade. Não importa se os servidores estão nos Estados Unidos, se a empresa é irlandesa ou se o processamento ocorre em Singapura: o que importa é se a atividade se enquadra em um dos três incisos.

Inciso I — Operação de tratamento realizada no território nacional

Esta é a hipótese mais direta: se o tratamento acontece no Brasil, a LGPD se aplica. Inclui operações realizadas por filiais brasileiras de empresas estrangeiras, centros de processamento de dados localizados no país e qualquer pessoa (física ou jurídica) que execute tratamento de dados em solo brasileiro.

Na prática: Uma empresa brasileira de RH que processa folha de pagamento para uma multinacional europeia está realizando operação de tratamento no território nacional. A LGPD incide independentemente de a controladora ser estrangeira.

Inciso II — Oferta de bens ou serviços a indivíduos no Brasil

Este é o inciso com maior impacto para empresas estrangeiras. A LGPD se aplica quando a atividade de tratamento tem por objetivo a oferta ou o fornecimento de bens ou serviços a pessoas localizadas no território nacional, ou o tratamento de dados desses indivíduos.

O critério não é a nacionalidade do titular — é a localização. Um turista francês que esteja no Brasil e tenha seus dados coletados por um aplicativo está protegido pela LGPD enquanto estiver no território nacional.

Na prática: Google, Meta, Amazon, Netflix, Uber, Spotify e qualquer plataforma digital que ofereça serviços a pessoas localizadas no Brasil está sujeita à LGPD pelo inciso II — mesmo que seus servidores estejam integralmente fora do país. Não é necessário ter CNPJ, escritório ou representante no Brasil para que a lei incida.

Inciso III — Dados coletados no território nacional

O terceiro inciso foca no local da coleta, não no local do tratamento posterior. Se os dados foram coletados de um titular que se encontrava no Brasil no momento da coleta (conforme esclarece o §1 do Art. 3), a LGPD acompanha esses dados mesmo que eles sejam posteriormente transferidos e processados no exterior.

"§1º Consideram-se coletados no território nacional os dados pessoais cujo titular nele se encontre no momento da coleta."

Na prática: Uma empresa de turismo sediada na Argentina que coleta dados de visitantes brasileiros durante uma feira em São Paulo não pode alegar inaplicabilidade da LGPD ao tratar esses dados em Buenos Aires. Os dados foram coletados no Brasil e continuam sujeitos à lei.

A exceção do §2 — Dados em trânsito

O §2 do Art. 3 estabelece uma exceção ao inciso I:

"§2º Excetua-se do disposto no inciso I deste artigo o tratamento de dados previsto no inciso IV do caput do art. 4º desta Lei."

Essa exceção se refere aos dados provenientes de fora do território nacional que apenas transitam pelo Brasil sem serem objeto de comunicação, compartilhamento ou transferência com agentes brasileiros — uma hipótese que detalharemos na análise do Art. 4, inciso IV.

Extraterritorialidade na prática: a LGPD e as big techs

A combinação dos três incisos do Art. 3 dá à LGPD um alcance que rivaliza com o do GDPR europeu — e que já produziu consequências concretas para empresas estrangeiras operando no Brasil.

Caso Meta — IA e dados de brasileiros (2024)

O caso mais emblemático da aplicação extraterritorial da LGPD envolveu a Meta (controladora do Facebook, Instagram e WhatsApp). Em julho de 2024, a ANPD expediu medida preventiva (Despacho Decisório n. 20/2024/PR/ANPD) determinando a suspensão imediata do uso de dados pessoais de brasileiros para treinamento de modelos de inteligência artificial generativa. A multa por descumprimento foi fixada em R$ 50 mil por dia.

A ANPD fundamentou a medida em quatro pontos: uso inadequado de base legal para o tratamento; falta de informação clara e acessível sobre a mudança na política de privacidade; limitações excessivas ao exercício dos direitos dos titulares; e tratamento de dados de crianças e adolescentes sem salvaguardas adequadas.

Em 30 de agosto de 2024, o Conselho Diretor da ANPD suspendeu a proibição após a Meta apresentar um plano de conformidade que incluía: notificação individual aos usuários por e-mail e pelo aplicativo; mecanismo facilitado de oposição ao tratamento (formulário simplificado); compromisso de não utilizar dados de menores de 18 anos; e período de carência de 30 dias entre a notificação e o início do tratamento.

Esse caso demonstrou algo importante: a ANPD não hesita em exercer seu poder de fiscalização sobre empresas estrangeiras de grande porte, mesmo quando toda a infraestrutura de processamento está localizada fora do Brasil.

Caso WhatsApp/Meta — Compartilhamento de dados (2025)

Em novembro de 2025, a ANPD concluiu outra fiscalização relevante contra o grupo Meta, desta vez sobre o compartilhamento de dados pessoais entre WhatsApp e outras empresas do grupo (Despacho Decisório n. 11/2025/CGF). A autoridade determinou a contratação de auditoria externa independente — em prazo de 45 dias úteis — para verificar se a Meta estava se limitando à condição de operadora no tratamento de dados do serviço de mensageria, ou se atuava também como controladora com finalidades próprias.

A decisão incluiu ainda a obrigação de detalhar, na política de privacidade, quando a Meta atua como operadora e quando atua como controladora, listar todas as empresas do grupo envolvidas em cada operação de tratamento, e informar explicitamente o uso de dados para publicidade direcionada.

Comparação com o modelo europeu

A abordagem da LGPD é consistente com a tendência global de extraterritorialidade em leis de proteção de dados. O GDPR europeu aplica o mesmo princípio em seu Art. 3(2): a lei incide sobre controladores e operadores não estabelecidos na UE quando o tratamento envolve oferta de bens e serviços a titulares na União, ou monitoramento de seu comportamento dentro do território europeu. Para aprofundar as semelhanças e diferenças entre as duas leis, confira nosso artigo sobre LGPD vs. GDPR.

Art. 4 — Quando a LGPD não se aplica

Se o Art. 3 define o alcance da lei, o Art. 4 traça os limites — as hipóteses em que o tratamento de dados pessoais está excluído do seu âmbito de aplicação:

"Esta Lei não se aplica ao tratamento de dados pessoais:

I – realizado por pessoa natural para fins exclusivamente particulares e não econômicos;

II – realizado para fins exclusivamente: a) jornalístico e artísticos; ou b) acadêmicos, aplicando-se a esta hipótese os arts. 7º e 11 desta Lei;

III – realizado para fins exclusivos de: a) segurança pública; b) defesa nacional; c) segurança do Estado; ou d) atividades de investigação e repressão de infrações penais; ou

IV – provenientes de fora do território nacional e que não sejam objeto de comunicação, uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de proveniência, desde que o país de proveniência proporcione grau de proteção de dados pessoais adequado ao previsto nesta Lei."

Cada exceção merece análise individual, porque a palavra-chave em quase todas é exclusivamente — e os limites dessa exclusividade são mais estreitos do que muitos imaginam.

Inciso I — Uso pessoal e não econômico

A primeira exceção é a mais intuitiva: a LGPD não se aplica quando uma pessoa física trata dados para fins estritamente pessoais e sem qualquer objetivo econômico. Manter uma agenda de contatos, organizar fotos de família, trocar mensagens com amigos — nada disso é regulado pela LGPD.

Limite importante: A exclusão exige que o tratamento seja cumulativamente particular e não econômico. Uma pessoa que mantém uma lista de clientes em uma planilha Excel para vender artesanato online já ultrapassou o limite — há finalidade econômica, ainda que informal.

Na prática: A exceção não protege influenciadores digitais que coletam dados de seguidores para fins de monetização, nem profissionais liberais que mantêm cadastros de clientes. O uso deve ser genuinamente pessoal e sem qualquer conexão com atividade econômica.

Inciso II, alínea "a" — Fins jornalísticos e artísticos

A exclusão para fins jornalísticos e artísticos reflete a necessidade de compatibilizar a proteção de dados pessoais com a liberdade de expressão e de imprensa — ambas garantias constitucionais (Art. 5, IV, IX e XIV, e Art. 220 da CF/88). Não por acaso, a liberdade de expressão, de informação, de comunicação e de opinião aparece como um dos fundamentos da própria LGPD (Art. 2, III).

A tensão entre jornalismo e proteção de dados

Apesar da exclusão legal, a relação entre LGPD e atividade jornalística está longe de ser pacífica. Em 2022, a Abraji (Associação Brasileira de Jornalismo Investigativo) e a Associação Data Privacy Brasil de Pesquisa publicaram o documento "Jornalismo e proteção de dados pessoais: a liberdade de expressão, informação e comunicação como fundamentos da LGPD", no qual alertam que a isenção jornalística não pode ser utilizada como barreira ao acesso à informação, mas também que a proteção de dados pessoais não pode servir como instrumento de censura prévia.

O ponto central do debate é que o Art. 4, II, "a" exclui a incidência da LGPD apenas quando a finalidade é exclusivamente jornalística. Quando um veículo de comunicação coleta dados de leitores para fins de marketing, monetização ou perfilamento publicitário, essas atividades estão plenamente sujeitas à LGPD — mesmo que o mesmo veículo exerça atividade jornalística.

Jurisprudência sobre o tema

O Judiciário brasileiro tem enfrentado pedidos de remoção de notícias com base na proteção de dados pessoais. A jurisprudência que se consolidou nos tribunais adota uma abordagem de ponderação: o pedido de eliminação de dados contidos em reportagens somente deve ser acolhido quando ficar demonstrada violação desproporcional ao direito de privacidade ou à integridade moral do titular. Quando a matéria é de interesse público e envolve figura notória, a liberdade de imprensa prevalece. Uma solução intermediária que os tribunais têm adotado é a desindexação — a remoção do resultado de buscadores como o Google, sem eliminar a notícia em si —, preservando simultaneamente o direito à informação e a proteção do titular.

Inciso II, alínea "b" — Fins acadêmicos

A exceção acadêmica é a única do Art. 4 que vem com uma ressalva expressa: mesmo excluída da aplicação geral da LGPD, a pesquisa acadêmica deve observar os artigos 7 e 11 da lei — ou seja, precisa de base legal válida para tratar dados pessoais comuns e sensíveis.

Isso significa que a exceção acadêmica é, na prática, uma exclusão parcial. O pesquisador não precisa cumprir todas as obrigações da LGPD (como nomear encarregado ou manter registro das operações de tratamento), mas precisa justificar a base legal do tratamento. Para dados sensíveis — frequentes em pesquisas de saúde, por exemplo — continuam valendo as restrições do Art. 11.

Na prática: Universidades e centros de pesquisa que coletam dados para estudos acadêmicos devem identificar a base legal aplicável (normalmente consentimento ou estudo por órgão de pesquisa) e, quando possível, garantir a anonimização dos dados conforme Art. 7, IV e Art. 11, II, "c".

Inciso III — Segurança pública, defesa nacional e investigação criminal

Esta é a exceção mais polêmica — e a que gera maior debate regulatório. O Art. 4, III exclui da LGPD o tratamento de dados realizado com finalidade exclusiva de segurança pública, defesa nacional, segurança do Estado e atividades de investigação e repressão de infrações penais.

Mas a exclusão vem acompanhada de quatro parágrafos que impõem limites significativos:

"§1º O tratamento de dados pessoais previsto no inciso III será regido por legislação específica, que deverá prever medidas proporcionais e estritamente necessárias ao atendimento do interesse público, observados o devido processo legal, os princípios gerais de proteção e os direitos do titular previstos nesta Lei."

O §1 é uma promessa legislativa: o Congresso deveria aprovar uma lei específica para regular o tratamento de dados no contexto de segurança pública e persecução penal. Essa lei não existe até hoje — mais de sete anos após a sanção da LGPD.

O vácuo regulatório: onde está a lei prometida?

O PL 1515/2022, de autoria do deputado Coronel Armando (PL-SC), é a principal proposta em tramitação na Câmara dos Deputados para preencher essa lacuna. O projeto se estrutura em três pilares: proteção dos direitos fundamentais de segurança, liberdade e privacidade; eficiência da atuação dos órgãos responsáveis; e intercâmbio de dados pessoais entre autoridades competentes.

O PL tramita em regime ordinário e será analisado por quatro comissões — Ciência e Tecnologia; Relações Exteriores e Defesa Nacional; Segurança Pública; e Constituição e Justiça. Até março de 2026, não há previsão concreta de votação. Enquanto isso, o tratamento de dados para fins de segurança pública opera em um vácuo regulatório onde a LGPD não se aplica integralmente, mas a legislação específica prometida pelo §1 simplesmente não existe.

Esse vácuo tem consequências práticas significativas. Órgãos de segurança pública utilizam tecnologias de reconhecimento facial, interceptação de dados de geolocalização e cruzamento massivo de bases de dados sem um marco regulatório que discipline os limites dessas operações, os direitos dos titulares afetados e os mecanismos de controle e accountability.

Parágrafos §2, §3 e §4 — Limites à participação privada

Os parágrafos restantes estabelecem salvaguardas contra o uso abusivo da exceção de segurança pública:

"§2º É vedado o tratamento dos dados a que se refere o inciso III do caput deste artigo por pessoa de direito privado, exceto em procedimentos sob tutela de pessoa jurídica de direito público, que serão objeto de informe específico à autoridade nacional e que deverão observar a limitação imposta no §4º deste artigo."

"§3º A autoridade nacional emitirá opiniões técnicas ou recomendações referentes às exceções previstas no inciso III do caput deste artigo e deverá solicitar aos responsáveis relatórios de impacto à proteção de dados pessoais."

"§4º Em nenhum caso a totalidade dos dados pessoais de banco de dados de que trata o inciso III do caput deste artigo poderá ser tratada por pessoa de direito privado, salvo por aquela que possua capital integralmente constituído pelo poder público."

A leitura conjunta dos §§2 e 4 revela uma preocupação clara: evitar que empresas privadas tenham acesso irrestrito a bases de dados de segurança pública. Empresas podem participar do tratamento, mas apenas sob tutela pública, com notificação à ANPD e sem acesso à totalidade do banco de dados — salvo se forem empresas de capital integralmente público.

Na prática: Uma empresa de tecnologia contratada pelo governo para operar câmeras de vigilância com reconhecimento facial está sujeita às restrições dos §§2 e 4. Ela pode tratar dados sob tutela do órgão público contratante, mas não pode ter acesso irrestrito à base completa de dados biométricos, e a operação deve ser informada à ANPD.

Inciso IV — Dados em trânsito

A última exceção trata de dados provenientes de fora do território nacional que apenas transitam pelo Brasil sem serem compartilhados com agentes brasileiros ou transferidos para outro país. É a chamada exceção do "mero trânsito" — relevante principalmente para empresas de telecomunicações e provedores de infraestrutura cujos dados trafegam por cabos e servidores no Brasil sem que haja tratamento substantivo.

Para que a exceção se aplique, três condições devem ser satisfeitas cumulativamente:

Os dados devem ser provenientes de fora do Brasil.
Não pode haver comunicação ou compartilhamento com agentes de tratamento brasileiros.
Não pode haver transferência internacional para país que não o de proveniência.

Além disso, o país de origem deve proporcionar grau de proteção adequado ao previsto na LGPD. Esse requisito conecta a exceção ao regime de transferência internacional de dados (Arts. 33-36), criando uma trava adicional: mesmo dados em trânsito perdem a exceção se vierem de país sem proteção adequada.

Na prática: Dados de cidadãos europeus que transitam por um data center em São Paulo, sem serem acessados ou compartilhados por empresas brasileiras, e que são destinados de volta à União Europeia, podem se enquadrar nesta exceção — desde que a UE seja reconhecida como jurisdição com nível adequado de proteção.

Erros comuns na interpretação dos Arts. 3 e 4

Erro	Consequência	Interpretação correta
"Minha empresa não tem sede no Brasil, então a LGPD não se aplica"	Risco de sanção pela ANPD	Se oferece bens/serviços a pessoas no Brasil ou coleta dados no território, a LGPD se aplica (Art. 3, II e III)
"Sou jornalista, posso tratar qualquer dado sem restrição"	Exposição a ações judiciais	A exceção vale apenas para fins exclusivamente jornalísticos. Marketing e monetização estão sujeitos à LGPD
"Dados de segurança pública estão fora da LGPD, então posso fazer o que quiser"	Violação dos §§1-4 do Art. 4	Os princípios gerais da LGPD continuam aplicáveis; pessoa de direito privado tem restrições adicionais
"Acadêmico está isento da LGPD"	Tratamento sem base legal válida	A exceção acadêmica exige observância dos Arts. 7 e 11 — é uma exclusão parcial
"Dados em trânsito nunca são regulados"	Tratamento irregular de dados estrangeiros	A exceção exige que não haja compartilhamento com agentes brasileiros e que o país de origem tenha proteção adequada

A ANPD como fiscal da extraterritorialidade

A ANPD tem demonstrado disposição concreta para fiscalizar empresas estrangeiras. Os casos da Meta em 2024 (treinamento de IA) e do WhatsApp em 2025 (compartilhamento de dados) mostram que a autoridade brasileira:

Aplica medidas preventivas com multas diárias expressivas (R$ 50 mil/dia no caso da Meta).
Exige planos de conformidade detalhados, com prazos específicos.
Determina auditorias externas independentes.
Impõe obrigações de transparência sobre políticas de privacidade.

A efetividade da cobrança contra empresas sem presença física no Brasil ainda depende de mecanismos de cooperação internacional — área em que a ANPD tem investido, especialmente por meio de participação em fóruns como o Global Privacy Assembly e acordos bilaterais com autoridades estrangeiras.

Vale lembrar que as sanções da LGPD incluem desde advertência até multa de 2% do faturamento no Brasil (limitada a R$ 50 milhões por infração), bloqueio e eliminação de dados, e suspensão parcial de banco de dados por até seis meses. Para empresas estrangeiras de grande porte com operações significativas no mercado brasileiro, o risco reputacional e operacional é substancial.

Para empresas de menor porte, a ANPD publicou a Resolução CD/ANPD n. 2/2022, que estabelece tratamento diferenciado e simplificado. Saiba mais no nosso artigo sobre a LGPD para pequenas empresas.

Conclusão

Os Artigos 3 e 4 da LGPD desenham um sistema de aplicação territorial amplo, com exceções restritas e condicionadas. A regra geral é clara: se há tratamento de dados de pessoas localizadas no Brasil, oferta de bens e serviços ao público brasileiro, ou coleta de dados no território nacional, a LGPD incide — independentemente de onde a empresa está sediada ou onde os servidores estão localizados.

As exceções do Art. 4 não são portas de saída generosas. O uso pessoal exige ausência de finalidade econômica. O jornalismo protege apenas a atividade editorial em si, não o tratamento comercial de dados por veículos de imprensa. A segurança pública aguarda há mais de sete anos uma lei específica que nunca veio. E os dados em trânsito precisam satisfazer condições cumulativas rigorosas.

Para DPOs e profissionais de compliance, a lição prática é direta: ao avaliar se a LGPD se aplica a uma operação de tratamento, comece pelo Art. 3 — e só descarte a aplicação da lei se a operação se encaixar com precisão cirúrgica em uma das exceções do Art. 4. Na dúvida, a LGPD se aplica.

A Confidata automatiza o mapeamento de atividades de tratamento e a análise de aplicabilidade da LGPD, identificando fluxos de dados transfronteiriços e alertando sobre operações que exigem conformidade com a lei brasileira — mesmo quando realizadas por parceiros ou fornecedores internacionais. Conheça nossa plataforma.