✅ Última verificação do texto legal: 22 de maio de 2026 · fontes oficiais: planalto.gov.br, gov.br/anpd
Resposta direta: a LGPD (Lei nº 13.709/2018) não obriga, proíbe nem regulamenta diretamente o uso de VPN. Para empresas, VPNs corporativas são uma das medidas técnicas que ajudam a cumprir o dever de segurança previsto no art. 46. Para pessoas, VPN é uma ferramenta complementar de proteção do tráfego, não substituto dos direitos garantidos pela lei.

O Que é a LGPD — Em Uma Página

A Lei Geral de Proteção de Dados Pessoais (LGPD) é a Lei nº 13.709, sancionada em 14 de agosto de 2018 e em vigor desde 18 de setembro de 2020. O texto oficial está disponível no portal do Planalto.

O objetivo central, conforme o art. 1º, é proteger os direitos fundamentais de liberdade e de privacidade dos titulares de dados — isto é, das pessoas físicas — sempre que dados pessoais forem tratados por organizações ou indivíduos, dentro ou fora do Brasil, desde que (a) o tratamento ocorra no território nacional, (b) tenha por objetivo a oferta ou fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no Brasil, ou (c) os dados pessoais objeto do tratamento tenham sido coletados no Brasil (art. 3º).

Conceitos-chave da LGPD:
  • Titular: a pessoa natural a quem os dados pessoais se referem.
  • Controlador: quem toma decisões sobre o tratamento de dados (geralmente a empresa que coleta).
  • Operador: quem realiza o tratamento em nome do controlador.
  • Tratamento: qualquer operação com dados pessoais — coleta, armazenamento, transmissão, uso, etc.
  • ANPD: a Autoridade Nacional de Proteção de Dados, órgão federal que fiscaliza e aplica sanções.

Onde a VPN Entra na Equação (Empresas)

O art. 46 da LGPD estabelece um dever genérico de segurança:

"Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito." (LGPD, art. 46)

A lei não lista quais medidas devem ser adotadas — deixa essa decisão para o agente de tratamento, conforme o risco e o tipo de dado. Na prática, uma VPN corporativa bem configurada pode contribuir em pelo menos três cenários típicos:

Cenário 1 — Trabalho remoto e acesso a sistemas internos

Quando funcionários acessam sistemas corporativos contendo dados pessoais (CRM, e-commerce, planilhas de RH) a partir de redes domésticas ou Wi-Fi público, uma VPN corporativa criptografa esse tráfego entre o dispositivo do funcionário e a infraestrutura da empresa. Isso reduz o risco de interceptação por terceiros e contribui para o dever de "proteger contra acessos não autorizados" do art. 46. Veja nosso guia VPN para Trabalho Remoto para detalhes técnicos.

Cenário 2 — Comunicação entre escritórios e prestadores

Empresas com múltiplas localidades ou que compartilham dados com operadores (escritórios de contabilidade, agências de marketing, prestadores de TI) podem usar túneis VPN site-to-site para garantir que a transmissão de dados pessoais entre esses pontos ocorra de forma criptografada — em conformidade com o princípio da segurança previsto no art. 6º, VII da LGPD.

Cenário 3 — Auditoria e demonstração de medidas técnicas

O art. 50 da LGPD prevê a possibilidade de programas de governança em privacidade, e o art. 49 fala em demonstração da efetividade. A existência documentada de uma política de VPN corporativa (qual VPN, com qual protocolo, com qual escopo de uso) é um elemento que pode ser apresentado à ANPD ou em auditorias internas como parte das medidas técnicas adotadas.

⚠️ Cuidado importante: VPN não é "blindagem contra LGPD". Adotar uma VPN não dispensa a empresa de outras obrigações: base legal para o tratamento, registro das operações (art. 37), relatório de impacto quando exigido (art. 38), notificação de incidentes à ANPD (art. 48), nomeação de encarregado de dados (DPO) quando aplicável (art. 41), entre outras. VPN é uma das peças do quebra-cabeças, não o quebra-cabeças inteiro.

Onde a VPN Entra (Pessoas Físicas / Titulares)

Para indivíduos, a LGPD garante direitos — não obrigações — em relação aos seus dados. O art. 18 lista nove direitos que você pode exercer perante qualquer organização que trate seus dados pessoais: confirmação da existência de tratamento, acesso, correção, anonimização ou bloqueio, portabilidade, eliminação, informação sobre compartilhamento, informação sobre o não fornecimento de consentimento e revogação do consentimento.

Uma VPN para uso pessoal complementa esses direitos em algumas situações práticas:

  • Reduz a coleta passiva pelo seu provedor de internet — sem VPN, seu ISP pode ver quais sites você visita. Com VPN ativa, ele vê apenas que você está conectado ao servidor VPN, não o tráfego em si.
  • Reduz exposição em Wi-Fi público — cafés, aeroportos, hotéis. Veja nosso guia detalhado: Segurança em Wi-Fi Público.
  • Limita o fingerprinting baseado em IP — embora não seja proteção completa, o IP é um dos vetores de rastreamento mais simples e diretos.

O que VPN não faz sob a LGPD: ela não impede o Google, a Meta, sua operadora bancária ou um e-commerce de coletar dados que você fornece ativamente. Para isso, os instrumentos previstos pela LGPD (consentimento, direitos do titular, canal de comunicação com o encarregado) são o caminho.

A LGPD se Aplica aos Provedores de VPN Estrangeiros?

Sim, em diversas situações. O art. 3º estabelece três hipóteses de aplicação extraterritorial. Provedores como NordVPN (sede no Panamá), ExpressVPN (sede nas Ilhas Virgens Britânicas), Surfshark (sede na Holanda) e outros, ao oferecerem serviços com assinatura em português brasileiro, suporte em português e cobrança em reais, claramente "tenham por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional" (art. 3º, II).

Na prática, isso significa que, como assinante brasileiro, você tem o direito de acionar a ANPD em caso de violação dos seus direitos enquanto titular pela empresa de VPN — independentemente de onde ela esteja sediada.

O que verificar antes de assinar uma VPN, sob a ótica da LGPD:

  • A política de privacidade está disponível em português e descreve claramente quais dados são coletados (e-mail, IP de pagamento, registros de conexão)?
  • Há canal de contato com encarregado/DPO ou equivalente para exercer direitos do art. 18?
  • A empresa tem auditoria independente da política de "no-logs"? (NordVPN, ExpressVPN e Surfshark possuem auditorias publicadas por PwC, KPMG ou Deloitte; verifique a data da última.)

Nossas análise do NordVPN, do ExpressVPN e do Surfshark incluem informações sobre a política de privacidade e o histórico de auditorias.

Sanções da LGPD em 2026

O art. 52 da LGPD prevê uma escala de sanções administrativas que a ANPD pode aplicar a quem descumpre a lei:

  1. Advertência, com indicação de prazo para adoção de medidas corretivas;
  2. Multa simples, de até 2% do faturamento do grupo no Brasil no último exercício, limitada, no total, a R$ 50 milhões por infração;
  3. Multa diária, observado o limite total acima;
  4. Publicização da infração;
  5. Bloqueio ou eliminação dos dados pessoais a que se refere a infração;
  6. Suspensão parcial ou total do funcionamento do banco de dados ou da atividade de tratamento;
  7. Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

Desde o início efetivo da fiscalização (agosto de 2021), a ANPD já aplicou sanções a empresas — por descumprimento de obrigações como nomeação de encarregado, comunicação de incidentes e respostas a titulares. Os processos administrativos são públicos e podem ser consultados no portal da ANPD.

Mitos Frequentes Sobre LGPD e VPN

Mito 1 — "Se eu uso VPN, estou em conformidade com a LGPD"

Falso. VPN é uma medida técnica, e medidas técnicas são apenas um dos pilares da conformidade. A LGPD exige base legal para o tratamento, transparência, governança, atendimento a direitos do titular, gestão de incidentes — tudo isso continua existindo independentemente de você usar VPN.

Mito 2 — "VPN viola a LGPD porque esconde o IP do usuário"

Falso. A LGPD protege os direitos do titular dos dados, não exige que os indivíduos se exponham. O IP do usuário, do ponto de vista da pessoa que navega, é um dado pessoal seu — você pode optar por mascará-lo. Empresas que coletam IPs precisam respeitar a LGPD; usuários que optam por usar VPN não violam nada.

Mito 3 — "A ANPD vai me multar por usar VPN"

Falso. A ANPD fiscaliza agentes de tratamento (empresas, órgãos públicos, etc.) — não pessoas físicas em uso doméstico de internet. Não há previsão de multa contra usuário pessoal de VPN. Para o panorama jurídico mais amplo, veja nosso artigo VPN é Legal no Brasil?.

Mito 4 — "Empresas de VPN não respondem à LGPD porque são estrangeiras"

Falso. Como já mostrado acima, o art. 3º torna a LGPD aplicável extraterritorialmente quando há oferta de serviços a pessoas no Brasil. Assinantes brasileiros têm os mesmos direitos perante NordVPN ou ExpressVPN que perante qualquer empresa nacional.

Checklist Prático Para Empresas

Antes de implementar VPN corporativa como medida LGPD, verifique:
  • ☐ Documento de política de uso da VPN (escopo, dispositivos cobertos, exceções)
  • ☐ Procedimento de provisionamento/revogação de credenciais alinhado com onboarding/offboarding de funcionários
  • ☐ Logs de uso da VPN com retenção definida e justificada (princípio da minimização — art. 6º, III)
  • ☐ Avaliação se o uso de VPN integra um Relatório de Impacto à Proteção de Dados (RIPD), quando aplicável (art. 38)
  • ☐ Treinamento dos funcionários sobre quando usar a VPN (e quando não usá-la — por exemplo, ferramentas internas só acessíveis por IP do escritório)
  • ☐ Cláusula contratual com o fornecedor da VPN cobrindo papel como operador (art. 39) e medidas de segurança
  • ☐ Plano de resposta a incidentes que considere falha ou comprometimento da VPN como cenário

Checklist Prático Para Indivíduos

Se você quer combinar VPN com seus direitos LGPD:
  • ☐ Escolha VPN com política de privacidade clara em português e canal de DPO ou suporte LGPD
  • ☐ Verifique data e autor da última auditoria de "no-logs" (PwC, KPMG, Deloitte são os mais comuns)
  • ☐ Mantenha registro do seu cadastro (email, método de pagamento) — você terá direito a portabilidade e exclusão
  • ☐ Use VPN consistentemente em redes não confiáveis (Wi-Fi público, redes de coworking)
  • ☐ Não use VPN como única medida — combine com gerenciador de senhas (veja nosso checador de senhas) e autenticação em dois fatores
  • ☐ Exerça seus direitos LGPD periodicamente: solicite acesso aos seus dados em serviços que você usa, peça exclusão de cadastros antigos

Perguntas Frequentes

VPN ajuda a cumprir a LGPD?

Indiretamente. Uma VPN corporativa bem configurada contribui para o cumprimento do dever de adoção de medidas de segurança previsto no art. 46. Mas é apenas uma camada técnica entre muitas — não substitui base legal, governança, atendimento a direitos do titular e demais obrigações da lei.

VPN protege meus dados pessoais sob a LGPD?

VPN protege seu tráfego de internet contra interceptação por terceiros não autorizados ao criptografar a conexão. Isso reduz exposição, mas não substitui os direitos garantidos a você como titular: acesso, correção, exclusão, portabilidade, etc. (art. 18).

A LGPD se aplica a provedores de VPN estrangeiros como NordVPN?

Sim. O art. 3º da LGPD prevê aplicação extraterritorial quando há oferta de serviços a pessoas no Brasil. NordVPN, ExpressVPN, Surfshark — todos que vendem para brasileiros — estão sujeitos à lei em relação aos dados dos seus assinantes brasileiros.

Qual a multa por descumprir a LGPD?

O art. 52 prevê multa de até 2% do faturamento no Brasil no último exercício, limitada a R$ 50 milhões por infração. Há também outras sanções: advertência, bloqueio de dados, suspensão parcial ou total de atividades de tratamento, etc.

O que é a ANPD?

Autoridade Nacional de Proteção de Dados — órgão público federal criado para fiscalizar e aplicar a LGPD. Sede em Brasília. Site oficial: gov.br/anpd.

Empresas precisam ter VPN para cumprir a LGPD?

Não obrigatoriamente. A lei não exige uma tecnologia específica — exige medidas adequadas. Dependendo do tipo de dado tratado e do risco, outras medidas podem ser suficientes (segmentação de rede, controle de acesso baseado em função, criptografia em repouso, etc.). VPN é apenas uma opção comum, especialmente para trabalho remoto.

Posso usar VPN grátis com tranquilidade para conformidade LGPD?

Em contexto pessoal, depende da qualidade do provedor. Para uso corporativo, geralmente não — VPNs gratuitas frequentemente monetizam vendendo dados de tráfego dos usuários, o que é exatamente o oposto do que a LGPD recomenda. Veja nosso comparativo honesto: VPN Grátis vs Paga — Qual o Risco?

Fontes Oficiais e Referências

Textos legais primários (todos consultados em 22 de maio de 2026):
⚠️ Aviso legal: este artigo tem caráter informativo e foi elaborado com base nos textos legais oficiais. Não constitui parecer jurídico individualizado. Para situações específicas — especialmente decisões corporativas sobre programa de privacidade, RIPD ou resposta a incidente — consulte um advogado especializado em direito digital ou seu encarregado de dados (DPO).

Artigos Relacionados