Você está na página 1de 27

DIREITO DIGITAL: COMPARATIVO ENTRE AS NORMAS LGPD E GDPR

Jonas de Souza Araujo1

RESUMO: O objetivo deste estudo é orientar sobre a definição da proteção dos


dados sensíveis em relação a competência posta pelos países, dispondo sobre a
importância dada em âmbito internacional através do quadro comparativo da Lei de
Proteção de Dados Brasileira e do Regulamento Europeu, tratando ambos do
mesmo assunto em diferentes perspectivas. Tais normas são necessárias em face
de ataques cibernéticos que, em seu principal alvo, são dados considerados
sensíveis, onde, cada norma tratará ao seu modo a classificação destes. Cabe
apresentar quais dados são relevantes aos estados, motivando a necessidade de
normas que visem a proteção e salvaguarda de informações críticas com potencial
uso destrutivo contido. Ademais, ao final, será disposta a conclusão com o descritivo
das normas abordando as ações na defesa do tema disposto com uma ótica
elucidativa.

Palavras-chave: Segurança da informação, Dados Sensíveis, Proteção de Dados.

ABSTRACT: The purpose of this study is to guide the definition of the protection of
sensitive data in relation to the competence posed by the countries, providing the
importance given in international scope through the comparative table of the Brazilian
Data Protection Law and the European Regulation, treating both of them different
perspectives. Such norms are necessary in the face of cyber attacks that, in their
main target, are considered sensitive data, where each norm will treat in its way the
classification of these. It is worth presenting what data are relevant to the states,
motivating the need for standards that aim to protect and safeguard critical
information with potential contained destructive use. In addition, in the end, will be
arranged the conclusion with the descriptive of the norms approaching the actions in
the defense of the subject disposed with an explanatory optic.

Keywords: Information Security, Sensitive Data, Data Protection.

1Acadêmico em Direito pela Universidade do Grande Rio Prof. José de Souza Herdy - UNIGRANRIO
Campus Lapa, orientado pelo Professor: Fernando Pontes.
1. INTRODUÇÃO

O tema de segurança da informação exerce uma importante tarefa


demandando preocupação em todo o planeta. Com a influência de ataques hackers
que afetam empresas em níveis internacionais e comerciais, se discute muito sobre
a guerra cibernética e roubo de dados.
Tal preocupação norteou as autoridades na criação de normas que visam
garantir a privacidade dos dados sensíveis de pessoas, clientes de grandes
corporações, dados que podem servir a atos de discriminação ou segredos de
justiça. Vale ressaltar que ocorrências passadas demonstraram as fragilidades das
normas ao serem aplicadas em um caso de abuso de dados pessoais. Portanto,
este presente estudo demonstra a diferença da norma europeia com a mais recente
lei destinada a tratar do tema proteção de dados no Brasil. Serão contrapostos os
pontos importantes sobre dados sensíveis, descrevendo de forma simples as
características abordadas pelos regulamentos e leis de proteção de dados.
Ademais, vários pontos referentes às diretrizes de senso seguro e
proteção são abordados por ambas as normas, onde, serão discutidos e avaliados,
buscando elucidar todos os principais pontos das normas em evidência.
Em complemento, serão apresentados os dispositivos em modelo
comparativo com detalhamento descrito das diferenças e semelhanças entre o
Regulamento europeu e a lei brasileira de proteção de dados, apresentando os
contrapontos, suas respectivas limitações e casos de omissões, nos principais temas
e critérios estabelecidos para compor ambas as normas, Lei Geral de Proteção de
Dados e Regulamento Europeu de Proteção de Dados.

2. A TECNOLOGIA DA INFORMAÇÃO

2.1. CONCEITO DE SOFTWARE


Conforme leciona LIMA (2016. p. 313), “softwares, programas de
computador ou aplicativos, são um conjunto de instruções em linguagem
intermediária entre máquinas e homens, desenvolvidos a partir da intervenção
humana”2, capazes de realizar uma resposta utilizando equipamentos físicos como
propulsores das decisões.

2LIMA, Glaydson de Farias. Manual de direito digital: fundamentos, legislação e jurisprudência. 1. ed.
– Curitiba: Appris 2016, p. 313.
2
Softwares são desenvolvidos pelo homem como um conjunto de normas
que regulam as interações daqueles que utilizam os dispositivos. Então, em um
software, o desenvolvedor cria uma série de ações determinadas em que permitirão
a interação entre o homem e a máquina, permitindo a utilização deste de forma
interativa.
O software é o que faz a diferença entre os computadores e as outras
inovações tecnológicas. A ideia de reconfigurar uma máquina para que ela faça uma
quantidade aparentemente infinita de tarefas é forte e fascinante.

2.2. MOTIVAÇÃO PARA SEGURANÇA DE SOFTWARE


É notório que a tecnologia evoluiu de maneira rápida e garante a
disponibilidade quase instantânea as informações e serviços necessários,
extrapolando o acesso local e possibilitando que estes serviços e informações
estejam disponíveis para qualquer um no mundo, bastando acesso a rede mundial
de computadores.
Entende-se que essa distribuição mundial permite alcançar clientes muito
além das fronteiras da soberania de um determinado país.
Os acessos podem ser locais, quando compreende uma rede doméstica
na casa de uma família, por exemplo. Podendo, esta rede, chegar ao alcance
mundial, através da internet.
“A internet nada mais é do que uma grande junção de redes de
dispositivos. Uma pessoa consegue se comunicar com um parente em outro
continente, cada um dentro de sua própria rede doméstica”.3 O uso natural da
internet é que todos os dispositivos conectados possam acessar qualquer serviço
(site, e-mail, comunicadores, aplicativos, etc.) sem que haja qualquer restrição.
Apesar da inexistência de regras de bloqueio como modo mais frequente de
utilização da internet, mesmo em redes domésticas e, principalmente naquelas
corporativas, é comum que exista um conjunto de padrões de acesso, define LIMA
(2016. p. 573).
Portanto, necessariamente, deve-se manter uma segurança, tornando o
perímetro interno controlado de modo a garantir a segurança dos dados sensíveis de

3LIMA, Glaydson de Farias. Manual de direito digital: fundamentos, legislação e jurisprudência. 1. ed.
– Curitiba: Appris 2016, p. 573.
3
clientes, colaboradores, usuários, financeiros, administrativos etc., garantindo sigilo
e privacidade destes.
Tal preocupação se inicia na rede doméstica, onde, computadores
domésticos são utilizados por todos para atividades básicas, tais como: transações
financeiras, bancárias, compra de produtos e serviços; comunicação, através de e-
mails; armazenamento de dados pessoais ou comerciais, etc. É importante que haja
a preocupação com a segurança do computador, pois, provavelmente, poderia
ocorrer falhas descritas em cartilha do Centro de Estudos Resposta e Tratamento de
Incidentes de Segurança no Brasil:
1. as senhas e números de cartões de crédito fossem furtados e
utilizados por terceiros;
2. a conta de acesso à Internet fosse utilizada por alguém não
autorizado;
3. os dados pessoais, ou até mesmo comerciais, fossem alterados,
destruídos ou visualizados por terceiros;
4. o computador deixasse de funcionar, por ter sido comprometido e
arquivos essenciais do sistema terem sido apagados, etc.4
Contudo, tais preocupações estão ligadas ao uso doméstico, existem
várias formas de se proteger de um ataque neste meio, sendo, que na maioria dos
casos o dano causado é pontual e de baixo impacto global ou de médio impacto,
conforme pessoa impactada.
Como exemplo de um golpe simples direcionado ao usuário doméstico,
pode se apresentar o “scam” (ou golpe), sendo, qualquer esquema ou ação
enganosa e/ou fraudulenta que, normalmente, tem como finalidade obter vantagens
financeiras. Como exemplo, apresentam duas situações envolvendo este tipo de
fraude, sendo que a primeira situação se dá através de páginas disponibilizadas na
Internet e a segunda através do recebimento de e-mails. Além disso, novas formas
de golpes podem surgir, portanto é muito importante que se “mantenha informado
sobre os tipos de ataques que são utilizados pelos fraudadores através dos veículos
de comunicação, como jornais, revistas, profissionais e sites especializados”5.
CERTbr. (2005. p. 41).

4 CERT.br, Centro de Estudos. Resposta e Tratamento de Incidentes de Segurança no Brasil. Cartilha


de Segurança para Internet. Parte I: Conceitos de Segurança. Versão 3.0 – setembro de 2015. p. 35.
5 Ibidem., 2015. p. 41.

4
Quando a abordagem apresentada extrapola o doméstico, os ataques
hackers ganham maiores proporções, neste contexto, os danos serão irreparáveis
ou de difícil reparação, podendo, em alguns casos, comprometer grandes
corporações privadas, sistemas públicos, ou vazamento de dados sensíveis de
usuários, clientes, dados corporativos ou dados de uma população inteira.
Fazer o software manter um bom comportamento é um processo que
envolve identificar e codificar a política e, em seguida, aplicar a política criada com
uma tecnologia razoável. Não existe regra básica na segurança de software. A
tecnologia avançada de segurança em aplicações é excelente para garantir que
somente softwares aprovados sejam executados, mas não é boa para encontrar
vulnerabilidades em arquivos que foram empacotados e são executáveis. Segundo
OWASP ASVS:
O objetivo da segurança em aplicações é manter a confidencialidade,
integridade e disponibilidade dos recursos de informação a fim de permitir
que as operações de negócios sejam bem-sucedidas e esse objetivo é
alcançado através da implementação de controles de segurança. 6
Entende-se que as ações normativas e padrões que formam a Segurança
da informação é o conjunto de medidas que são adotadas visando minimizar os
riscos e as vulnerabilidades, bem como proteger a confidencialidade, integridade e
disponibilidade da informação.
Na verdade, como forma de manter um perímetro interno mais seguro,
são criadas ferramentas denominadas de “firewalls”, contudo, tais paredes de fogo,
oferecem pouca proteção às redes. Existem inúmeros produtos de detecção de
invasões e são utilizadas de diferentes formas, assim, ocorrem casos em que ficam
aquém das expectativas comerciais. As empresas de serviço empregam técnicas e
ferramentas, mas o código ainda permite a invasão.
Conclui-se que há defeitos nos softwares utilizados e que tais sistemas
permitem certas ações, como fazer a rede funcionar. De fato, o software
desempenha um papel significativo na manutenção dos negócios da maioria das
empresas e dos governos. Pode-se tentar impedir que pessoas mal-intencionadas
tenham acesso ao software mal feito, mas está ficando mais difícil, à medida que as

6OWASP ASVS - Padrão de Verificação de Segurança da Aplicação. Disponível em:


<https://www.owasp.org/images/2/2b/OWASP_ASVS_2009_Web_App_Std_Release_PT-BR.pdf>.
Acesso em: 26 mar. 2019, p. 05.
5
barreiras convencionais entre os focos de informação vão desaparecendo. Para
ganhar velocidade e operar no tempo da Internet, permite-se que as informações se
movam mais rápido. Isso significa ter mais serviços e uma explosão de interfaces
voltadas ao exterior, mais aplicativos dispostos na extremidade externa das redes e
uma quantidade maior de softwares exposta a invasores em potencial.
Princípios de segurança são independentes de linguagem, são
arquiteturas primitivas neutras que podem ser aproveitadas dentro da maioria das
metodologias de desenvolvimento de software para projetar e construir aplicações.
Os importantes princípios ajudam os envolvidos do projeto nas decisões de
segurança em situações novas com as mesmas ideias básicas.

2.3. RISCOS
Risco é a combinação de fatores que definem o nível de ameaça ao
sucesso do negócio. Pode-se usar como exemplo um sistema com grande
quantidade de dados sensíveis e diversas vulnerabilidades neste, possibilitando a
um invasor explorar de modo fácil e causar um dano considerável, com a obtenção
dos dados sensíveis ou sigilosos. Todos estes fatores desempenham um papel de
preocupação na forma de armazenamento e guarda de informações sensíveis.
Por mais controlada e precisa que seja a execução de uma atividade de
desenvolvimento, sempre existe o risco, mesmo que muito remoto de algo dar
errado. Este fato decorre do grande número de variáveis que podem influenciar no
resultado e na sua natureza, muitas vezes imprevisível. A partir deste cenário, torna-
se necessário aprender a conviver com riscos, minimizando suas possíveis
consequências negativas.
Conforme a arte de explorar os softwares:
A segunda profissão mais antiga do mundo é a guerra. Mas mesmo uma
profissão tão antiga como a guerra tem seu correspondente cibernético. A
guerra de informações (GI) é essencial para toda nação e corporação que
pretende ter sucesso (e sobreviver) no mundo moderno. Mesmo que uma
nação não esteja gerando capacidade para GI, pode-se garantir que os
inimigos estão, e que a nação estará em grande desvantagem em guerras
futuras.
A coleta de informações é fundamental para a guerra. Como a GI
nitidamente gira em torno das informações, ela também está muito ligada à

6
coleta de informações. A espionagem clássica tem quatro objetivos
importantes:
• Defesa nacional (e segurança nacional)
• Ajuda em uma operação militar
• Expansão da influência política e da participação no mercado
• Aumento do poder econômico
Um espião eficiente é uma pessoa que consegue coletar e, talvez, até
controlar grandes quantidades de informações importantes. Essa é uma
grande verdade na era da informática altamente interconectada. Se for
possível obter informações importantes em redes, o espião não terá que
ficar fisicamente exposto. Ficar menos exposto implica uma menor
possibilidade de ser capturado ou, de outra forma, comprometido. Também
significa que a capacidade de coletar informações custa muito menos do
que custava no passado.7
Como a guerra eletrônica está, em muitos casos, ligada à representação
eletrônica do dinheiro, informações, dados sigilosos e dados econômicos. Em
grande parte, o alvo dos ataques são a obtenção de bases de dados, valendo-se de
falhas dos sistemas, onde, por parte de uma omissão estatal, não eram passíveis de
punições, mas, somente um impacto na imagem e na qualidade de prestação de
serviço pela companhia afetada.

3. REGULAMENTO GERAL SOBRE A PROTEÇÃO DE DADOS

3.1. MOTIVAÇÃO
O volume de informações que as empresas, estatais e corporativas, têm
sobre seus clientes, pessoas físicas e jurídicas, são inúmeras, tendo isto uma
relação direta com o comércio eletrônico, “e-banking”, ensino a distância, dados
populacionais e outros. Neste cenário surgiu, para as empresas e os governos, o
desafio de como armazenar, controlar, atualizar e acessar esta informação em
tempo real, preservando a confidencialidade dos detentores dos dados de seus
clientes, sua empresa, seus colaboradores ou pessoas dos quais sejam
responsáveis.
O Regulamento Geral sobre a Proteção de Dados (GDPR) foi concebido
após décadas de discussões entre os países da União Europeia sobre o tema de

7HOGLUND, Greg. A arte de explorar (e proteger) software. São Paulo. Ed Pearson Makron Books,
2006, p.05.
7
Proteção de Dados e foi publicada no dia 27 de abril de 2016. Antes da GDPR, as
empresas que atuavam nos vários países da Europa tinham que conhecer e estar
em conformidade com a legislação de proteção de dados de cada país em que
atuavam, gerando custos de consultoria e auditoria significativos. Sendo que, era
possível que os Estados fossem omissos em tais normas ou fossem totalmente
contrários em seus dispositivos.
A primeira versão da GDPR foi publicada em 2016 e após alguns ajustes
foi republicada uma nova versão em maio de 2018, permitindo que uma única lei de
proteção de dados fosse aplicada a todos os países que compõem a União
Europeia, reduzindo drasticamente os custos das empresas com os procedimentos e
políticas de proteção de dados que tinham no cenário anterior a GDPR.
Em uma pesquisa realizada pela Comissão Europeia com vários países
que compõem a União Europeia, foram levantados dois questionamentos: ”qual o
nível de controle que tem sobre a informação que você provê on-line?; qual a
competência para corrigir, mudar ou excluir esta informação?”8. As respostas foram
classificadas em três categorias:
1. Controle total sobre as informações: as respostas variaram entre 4% a
31% do total de empresas respondentes em cada país pesquisado.
Demonstrando maturidade de proteção de dados muito distintas entre
as empresas nos diversos países pesquisados.
2. Controle parcial sobre as informações: as respostas variaram entre
42% e 64% demonstrando aqui uma convergência maior das respostas
das empresas entre os vários países pesquisados.
3. Nenhum controle sobre as informações: as respostas variaram entre
16% e 45%, e novamente aqui se identificou situações muito peculiares
entre os países pesquisados.9
Portanto, “o motivo que inspirou o surgimento desta regulamentação de
proteção de dados pessoais partiu da necessidade de garantir um regulamento
único e consolidado um padrão entre os Estados da União Europeia”10, com níveis
de controle, fiscalização e punições aos que detenham as bases de dados,

8 RICARDO, José. Proteção de dados: qual sua relevância e motivação?


<https://jfogaca.com/2018/11/11/protecao-de-dados-qual-sua-relevancia-e-motivacao/>. Acesso em:
26 mar. 2019, p.01.
9 Ibidem., 2019, p.01.
10 Pinheiro, Patrícia Peck. Proteção de Dados Pessoais Comentários à Lei n. 13.709/2018 LGPD.

Saraiva Educação. Edição do Kindle. 2018, p. 184.


8
especialmente os relacionados às pessoas, viabilizados pelos avanços tecnológicos
e pela globalização. PECK (2018, p. 184).

3.2. ABRANGÊNCIA
LEMOS (2018, p. 03), descreve que o “Regulamento será aplicável em
território europeu, mas acabará por produzir efeitos sobre cidadãos e empresas
sediadas em outros países”11.
Além disso, pode-se inferir, pelas cláusulas contidas na GDPR, que sua
abrangência extrapola o território europeu, aplicando aos que prestam serviços aos
cidadãos europeus:
Isto porque a cláusula que estabelece o alcance da GDPR é ampla. A
princípio, o Regulamento se aplica aos responsáveis pelo tratamento de
dados situados na Europa ou aos que não possuem representação na
região, mas que ofereçam serviços ao mercado europeu ou monitorem o
comportamento de pessoas que se encontrem na União Europeia,
independentemente de sua nacionalidade.12
Contudo, percebe-se que, em seu território a nova legislação europeia
não leva em conta a cidadania do titular dos dados, bastando que os dados, o
monitoramento de atividades ou o fornecimento de bens ou serviços a indivíduos
que estejam, ainda que de passagem, no território europeu. Além disso, a GDPR
define que os responsáveis pelo tratamento de dados deverão garantir que terceiros
prestadores de serviços atuem de acordo com as regras estabelecidas pela GDPR.
Cidadãos brasileiros poderão ser indiretamente beneficiados pelas novas
regras europeias, visto que muitos provedores de aplicação prestam serviços no
território europeu e estão adotando políticas de controle e segurança de dados para
se adequar à GDPR, desta forma ocorre o fortalecimento da imagem destas
empresas e reduzem a possibilidade de responsabilização.
Conforme os casos práticos expostos:
É o caso do Google, que atualizou a política de privacidade e realizou a
maior campanha de notificação a usuários já feita pela empresa.
Igualmente, a Amazon disponibilizou aos seus consumidores um novo

11 LEMOS, Ronaldo. A entrada em vigor da GDPR, nova regulação para proteção de dados pessoais,
traz novos desafios. <https://www.jota.info/opiniao-e-analise/artigos/gdpr-dados-pessoais-europa-
25052018>. Acesso em: 26 mar. 2019. p. 03.
12 Ibidem., 2019. p. 03.

9
acordo sobre processamento de dados e o Twitter atualizou os Termos de
Uso e Política de Privacidade.13
Quando uma empresa processar informações sobre a saúde, orientação
sexual, religião, opções políticas ou filiação a sindicatos, por exemplo, deverão se
ater a mecanismos de segurança da informação para que tais dados possam ser
tratados e até mesmo armazenados em bancos de dados.
Contudo, o Regulamento europeu determina que não haja restrição na
circulação de dados pessoais em sistemas da União, onde, visa o bom
funcionamento do mercado interno:
O bom funcionamento do mercado interno impõe que a livre circulação de
dados pessoais na União não pode ser restringida ou proibida por motivos
relacionados com a proteção das pessoas singulares no que respeita ao
tratamento de dados pessoais. Para ter em conta a situação particular das
micro, pequenas e médias empresas, o presente regulamento prevê uma
derrogação para as organizações com menos de 250 trabalhadores
relativamente à conservação do registo de atividades. 14

4. LEI GERAL DE PROTEÇÃO DE DADOS

4.1. MOTIVAÇÃO NO BRASIL


Com a entrada em vigor do Regulamento Europeu de Proteção de Dados,
GPDR, no dia 27 de abril de 2016, os representantes brasileiros viram a
necessidade de iniciar o processo de elaboração da Lei de Proteção de Dados
Brasileira, denominada de LGPD, sendo a lei brasileira bem parecida com o
regulamento da União Europeia. Ainda, a GDPR cria obstáculos na transferência
internacional de dados pessoais aos países que não possuam um nível adequado
de proteção. “O Brasil, com a LGPD, pode, em breve, passar a compor o rol de

13 LEMOS, Ronaldo. A entrada em vigor da GDPR, nova regulação para proteção de dados pessoais,
traz novos desafios. <https://www.jota.info/opiniao-e-analise/artigos/gdpr-dados-pessoais-europa-
25052018>. Acesso em: 26 mar. 2019. p. 03.
14 REGULAMENTO (UE) 2016/679 DO PARLAMENTO EUROPEU E DO CONSELHO de 27 de abril

de 2016. Relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados
pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral
sobre a Proteção de Dados). <https://eur-lex.europa.eu/legal-
content/PT/TXT/PDF/?uri=CELEX:32016R0679&from=EN>. 2016, p. 03.
10
países dos quais tais dados podem ser transferidos”15, o que terá forte impacto
econômico e comercial. MONTEIRO (2018, p. 03).
Por vez, a LGPD, como uma legislação recém promulgada, descreve
fatores em que não se tem um entendimento maduro, nos quais, os dispositivos
eram emendados de forma a atender pontualmente casos conforme os
acontecimentos. Com a promulgação da Lei, que efetivamente regulamenta o tema
de forma ampla, a existência da defesa dos mecanismos se daria de modo
principiológico, sem regras definidas ou específicas aos possíveis acontecimentos
tecnológicos, o que dificulta o entendimento da LGPD, sua aplicação e o seu
entendimento pela sociedade.
Assim, mais do que uma mudança legislativa, “a LGPD se propõe a gerar
uma grande mudança cultural na proteção de dados no Brasil (que já está
consolidada da Europa)”16, fazendo com que as pessoas tenham instrumentos mais
claros para zelar pelas informações que lhe dizem respeito. MACHADO (2018, p.
01).

5. QUADRO COMPARATIVO

5.1. DO TRATAMENTO DE DADOS PESSOAIS SENSÍVEIS


O regulamento europeu trata dos dados sensíveis descrevendo-os da
seguinte maneira: "dados de saúde, dados biométricos e dados genéticos"17,
conforme MACHADO (2018, p. 01). Consistindo em categorias especiais de dados
pessoais.
1) «Dados pessoais», informação relativa a uma pessoa singular
identificada ou identificável («titular dos dados»); é considerada identificável
uma pessoa singular que possa ser identificada, direta ou indiretamente, em
especial por referência a um identificador, como por exemplo um nome, um
número de identificação, dados de localização, identificadores por via
eletrônica ou a um ou mais elementos específicos da identidade física,
fisiológica, genética, mental, económica, cultural ou social dessa pessoa
singular;

15 MONTEIRO. Renato Leite. Lei Geral de Proteção de Dados do Brasil: análise contextual detalhada.
<https://www.jota.info/opiniao-e-analise/colunas/agenda-da-privacidade-e-da-protecao-de-dados/lgpd-
analise-detalhada-14072018>. Acesso em: 26 mar. 2019. P. 03
16 MACHADO, José Mauro Decoussau. LGPD E GDPR: UMA ANÁLISE COMPARATIVA ENTRE AS

LEGISLAÇÕES. <http://www.pinheironeto.com.br/Pages/publicacoes-detalhes.aspx?nID=1362>.
Acesso em: 26 mar. 2019. p. 01.
17 Ibidem., p. 01.

11
13) «Dados genéticos», os dados pessoais relativos às características
genéticas, hereditárias ou adquiridas, de uma pessoa
singular que deem informações únicas sobre a fisiologia ou a saúde dessa
pessoa singular e que resulta designadamente de uma análise de uma
amostra biológica proveniente da pessoa singular em causa; 14) «Dados
biométricos», dados pessoais resultantes de um tratamento técnico
específico relativo às características
físicas, fisiológicas ou comportamentais de uma pessoa singular que
permitam ou confirmem a identificação única
dessa pessoa singular, nomeadamente imagens faciais ou dados
dactiloscópicos;
15) «Dados relativos à saúde», dados pessoais relacionados com a saúde
física ou mental de uma pessoa singular,
incluindo a prestação de serviços de saúde, que revelem informações sobre
o seu estado de saúde.18
A Lei brasileira é direta, conceituando estes dados como espécies de
dados sensíveis, conforme se depreende da definição prevista pelo inciso I e II do
artigo 5º:
Art. 5º Para os fins desta Lei, considera-se:
I - dado pessoal: informação relacionada a pessoa natural identificada ou
identificável;
II - dado pessoal sensível: dado pessoal sobre origem racial ou étnica,
convicção religiosa, opinião política, filiação a sindicato ou a organização de
caráter religioso, filosófico ou político, dado referente à saúde ou à vida
sexual, dado genético ou biométrico, quando vinculado a uma pessoa
natural;19
Conforme texto do artigo 5º da lei de proteção de dados brasileira, não
existe uma definição taxativa de quais dados são passíveis de proteção,
alimentando margem para uma interpretação expansiva, devendo, o interessado,
discutir posteriormente, arguindo em defesa.
Em relação ao tratamento de dados sensíveis, ambas as normas
apresentam exceções à restrição ao tratamento, contudo, duas destas exceções não
foram contempladas pela lei brasileira, estas estão no artigo 9º:

18 REGULAMENTO (UE) 2016/679 DO PARLAMENTO EUROPEU E DO CONSELHO de 27 de abril


de 2016. Relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados
pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral
sobre a Proteção de Dados). <https://eur-lex.europa.eu/legal-
content/PT/TXT/PDF/?uri=CELEX:32016R0679&from=EN>. 2016, p. 33.
19 Ibidem., 2016, p. 35.

12
Art. 9:
1. É proibido o tratamento de dados pessoais que revelem a origem racial
ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas, ou a
filiação sindical, bem como o tratamento de dados genéticos, dados
biométricos para identificar uma pessoa de forma inequívoca, dados
relativos à saúde ou dados relativos à vida sexual ou orientação sexual de
uma pessoa.
2. O disposto no n.o 1 não se aplica se se verificar um dos seguintes casos:
d) Se o tratamento for efetuado, no âmbito das suas atividades legítimas e
mediante garantias adequadas, por uma fundação, associação ou qualquer
outro organismo sem fins lucrativos e que prossiga fins políticos, filosóficos,
religiosos ou sindicais, e desde que esse tratamento se refira
exclusivamente aos membros ou antigos membros desse organismo ou a
pessoas que com ele tenham mantido contatos regulares relacionados com
os seus objetivos, e que os dados pessoais não sejam divulgados a
terceiros sem o consentimento dos seus titulares;
e) Se o tratamento se referir a dados pessoais que tenham sido
manifestamente tornados públicos pelo seu titular. 20
Assim, a Lei brasileira também estabelece formas expressas para a
exceção a proteção dos dados, permitindo o tratamento dos dados sem o
consentimento do titular quando for indispensável, conforme o artigo 11:
Artigo 11. O tratamento de dados pessoais sensíveis somente poderá
ocorrer nas seguintes hipóteses:
II - sem fornecimento de consentimento do titular, nas hipóteses em que for
indispensável para:
b) tratamento compartilhado de dados necessários à execução, pela
administração pública, de políticas públicas previstas em leis ou
regulamentos;
g) garantia da prevenção à fraude e à segurança do titular, nos processos
de identificação e autenticação de cadastro em sistemas eletrônicos,
resguardados os direitos mencionados no art. 9º desta Lei e exceto no caso
de prevalecerem direitos e liberdades fundamentais do titular que exijam a
proteção dos dados pessoais. 21

20 REGULAMENTO (UE) 2016/679 DO PARLAMENTO EUROPEU E DO CONSELHO de 27 de abril


de 2016. Relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados
pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral
sobre a Proteção de Dados). <https://eur-lex.europa.eu/legal-
content/PT/TXT/PDF/?uri=CELEX:32016R0679&from=EN>. 2016, p. 38.
21 BRASIL. LEI Nº 13.709, DE 14 DE AGOSTO DE 2018. Dispõe sobre a proteção de dados pessoais

e altera a Lei nº 12.965, de 23 de abril de 2014 (Marco Civil da Internet). Disponível em:
13
5.2. DO TRATAMENTO DE DADOS DE MENORES
O Regulamento Europeu permite o consentimento dado por jovem que
tenha pelo menos 16 anos para tratamento de informações pessoais sensíveis e,
caso tenham menos de 16 anos, o consentimento pode ser dado por representante
legal:
Art. 8:
1. Quando for aplicável o artigo 6.o, n.o 1, alínea a), no que respeita à oferta
direta de serviços da sociedade da informação às crianças, dos dados
pessoais de crianças é lícito se elas tiverem pelo menos 16 anos. Caso a
criança tenha menos de 16 anos, o tratamento só é lícito se é na medida em
que o consentimento seja dado ou autorizado pelos titulares das
responsabilidades parentais da criança. Os Estados-Membros podem dispor
no seu direito uma idade inferior para os efeitos referidos, desde que essa
idade não seja inferior a 13 anos. 2. Nesses casos, o responsável pelo
tratamento envida todos os esforços adequados para verificar que o
consentimento foi dado ou autorizado pelo titular das responsabilidades
parentais da criança, tendo em conta a tecnologia disponível.
3. O disposto no n.o 1 não afeta o direito contratual geral dos Estados-
Membros, como as disposições que regulam a validade, a formação ou os
efeitos de um contrato em relação a uma criança.22
A Lei brasileira aplica um regime parecido para jovens e crianças, desta
forma, para o tratamento do menor devem ser observados dois requisitos
necessários, o tratamento deve observar o melhor para o interesse do jovem e o
consentimento dos pais ou seu representante legal, conforme artigo 14 da LGPD:
Art. 14. O tratamento de dados pessoais de crianças e de adolescentes
deverá ser realizado em seu melhor interesse, nos termos deste artigo e da
legislação pertinente.

§ 1º O tratamento de dados pessoais de crianças deverá ser realizado com


o consentimento específico e em destaque dado por pelo menos um dos
pais ou pelo responsável legal. 23

<http://www.planalto.gov.br/ccivil_03/_Ato2015-2018/2018/Lei/L13709.htm>. Acesso em: 28 de mar.


2019. 2018, p.n.p.
22 REGULAMENTO (UE) 2016/679 DO PARLAMENTO EUROPEU E DO CONSELHO de 27 de abril

de 2016. Relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados
pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral
sobre a Proteção de Dados). <https://eur-lex.europa.eu/legal-
content/PT/TXT/PDF/?uri=CELEX:32016R0679&from=EN>. 2016, p. 37.
23 BRASIL. LEI Nº 13.709, DE 14 DE AGOSTO DE 2018. Dispõe sobre a proteção de dados pessoais

e altera a Lei nº 12.965, de 23 de abril de 2014 (Marco Civil da Internet). Disponível em:
14
5.3. POLÍTICAS DE PROTEÇÃO DE DADOS
Quando se trata das políticas de proteção de dados, o regulamento
europeu define tal responsabilidade aos controladores de dados, determinando que
este adote medidas que assegurem o tratamento de dados em conformidade com a
norma, permitindo que faça uso de ferramentas e técnicas:
Art. 24:
1. Tendo em conta a natureza, o âmbito, o contexto e as finalidades do
tratamento dos dados, bem como os riscos para os direitos e liberdades das
pessoas singulares, cuja probabilidade e gravidade podem ser variáveis, o
responsável pelo tratamento aplica as medidas técnicas e organizativas que
forem adequadas para assegurar e poder comprovar que o tratamento é
realizado em conformidade com o presente regulamento. Essas medidas
são revistas e atualizadas consoante as necessidades.
2 Caso sejam proporcionadas em relação às atividades de tratamento, as
medidas a que se refere o n.o 1 incluem a aplicação de políticas adequadas
em matéria de proteção de dados pelo responsável pelo tratamento. 24
Com outro modo de expor a necessidade de implementação das políticas,
mecanismos de proteção e cuidados no tratamento dos dados, a Lei brasileira
acrescenta esta competência como faculdade ao controlador de dados, conforme
dispõe o artigo 50:
Art. 50. Os controladores e operadores, no âmbito de suas competências,
pelo tratamento de dados pessoais, individualmente ou por meio de
associações, poderão formular regras de boas práticas e de governança
que estabeleçam as condições de organização, o regime de funcionamento,
os procedimentos, incluindo reclamações e petições de titulares, as normas
de segurança, os padrões técnicos, as obrigações específicas para os
diversos envolvidos no tratamento, as ações educativas, os mecanismos
internos de supervisão e de mitigação de riscos e outros aspectos
relacionados ao tratamento de dados pessoais. 25

<http://www.planalto.gov.br/ccivil_03/_Ato2015-2018/2018/Lei/L13709.htm>. Acesso em: 28 de mar.


2019. 2018, p.n.p.
24 REGULAMENTO (UE) 2016/679 DO PARLAMENTO EUROPEU E DO CONSELHO de 27 de abril

de 2016. Relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados
pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral
sobre a Proteção de Dados). <https://eur-lex.europa.eu/legal-
content/PT/TXT/PDF/?uri=CELEX:32016R0679&from=EN>. 2016, p. 47.
25 BRASIL. LEI Nº 13.709, DE 14 DE AGOSTO DE 2018. Dispõe sobre a proteção de dados pessoais

e altera a Lei nº 12.965, de 23 de abril de 2014 (Marco Civil da Internet). Disponível em:
<http://www.planalto.gov.br/ccivil_03/_Ato2015-2018/2018/Lei/L13709.htm>. Acesso em: 28 de mar.
2019. 2018, p.n.p.
15
5.4. RESPONSABILIZAÇÃO DOS AGENTES
O Regulamento Europeu descreve em que momento ocorrerá a
responsabilização por danos causados aos titulares dos dados pessoais sensíveis.
Neste contexto, serão penalizados os controladores, operadores ou detentores, dos
quais tenham o dever de cuidar e proteger. Não se aplicam as penalidades em tais
pessoas, sejam, físicas ou jurídicas, quando: não estiverem envolvidas com o
tratamento dos dados ou quando o tratamento ocorrer em conformidade com a
legislação. Conforme dispõe o artigo 82, do GDPR:
Art. 82:
1. Qualquer pessoa que tenha sofrido danos materiais ou imateriais devido
a uma violação do presente regulamento tem direito a receber uma
indemnização do responsável pelo tratamento ou do subcontratante pelos
danos sofridos.
2. Qualquer responsável pelo tratamento que esteja envolvido no tratamento
é responsável pelos danos causados por um tratamento que viole o
presente regulamento. O subcontratante é responsável pelos danos
causados pelo tratamento apenas se não tiver cumprido as obrigações
decorrentes do presente regulamento dirigidas especificamente aos
subcontratantes ou se não tiver seguido as instruções lícitas do responsável
pelo tratamento.26
A Lei brasileira prevê a responsabilização dos agentes que deveriam zelar
pela segurança e sigilo dos dados, conforme artigo 42.
Art. 42. O controlador ou o operador que, em razão do exercício de
atividade de tratamento de dados pessoais, causar a outrem dano
patrimonial, moral, individual ou coletivo, em violação à legislação de
proteção de dados pessoais, é obrigado a repará-lo.
§ 1º A fim de assegurar a efetiva indenização ao titular dos dados:
I - o operador responde solidariamente pelos danos causados pelo
tratamento quando descumprir as obrigações da legislação de proteção de
dados ou quando não tiver seguido as instruções lícitas do controlador,
hipótese em que o operador equipara-se ao controlador, salvo nos casos de
exclusão previstos no art. 43 desta Lei.27

26 REGULAMENTO (UE) 2016/679 DO PARLAMENTO EUROPEU E DO CONSELHO de 27 de abril


de 2016. Relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados
pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral
sobre a Proteção de Dados). <https://eur-lex.europa.eu/legal-
content/PT/TXT/PDF/?uri=CELEX:32016R0679&from=EN>. 2016, p. 81.
27 BRASIL. LEI Nº 13.709, DE 14 DE AGOSTO DE 2018. Dispõe sobre a proteção de dados pessoais

e altera a Lei nº 12.965, de 23 de abril de 2014 (Marco Civil da Internet). Disponível em:
16
Em contrapartida, foram acrescentadas hipóteses em que os agentes
responsáveis pelo tratamento não serão responsabilizados pelos danos causados:
quando os agentes comprovarem que o dano é decorrente de culpa exclusiva do
titular dos dados ou de terceiros, conforme redação do artigo 43 da LGPD.
Art. 43. Os agentes de tratamento só não serão responsabilizados quando
provarem:
I - que não realizaram o tratamento de dados pessoais que lhes é atribuído;
II - que, embora tenham realizado o tratamento de dados pessoais que lhes
é atribuído, não houve violação à legislação de proteção de dados; ou
III - que o dano é decorrente de culpa exclusiva do titular dos dados ou de
terceiro.
II - os controladores que estiverem diretamente envolvidos no tratamento do
qual decorreram danos ao titular dos dados respondem solidariamente,
salvo nos casos de exclusão previstos no Art. 43 desta Lei. 28
É imprescindível destacar que o artigo 42, §2º, da LGPD, acrescenta a
possibilidade de inversão do ônus da prova em favor do titular dos dados ofendido,
entendendo pela hipossuficiência deste.
§ 2º O juiz, no processo civil, poderá inverter o ônus da prova a favor do
titular dos dados quando, a seu juízo, for verossímil a alegação, houver
hipossuficiência para fins de produção de prova ou quando a produção de
prova pelo titular resultar-lhe excessivamente onerosa. 29

5.5. ESTUDO PRÉVIO


O Regulamento Europeu prevê um estudo prévio a ser realizado pelo
tratamento dos dados quando for utilizar novas tecnologias, conforme previsão no
artigo 35 do Regulamento.
Art. 35.
1. Quando um certo tipo de tratamento, em particular que utilize novas
tecnologias e tendo em conta a sua natureza, âmbito, contexto e
finalidades, for suscetível de implicar um elevado risco para os direitos e
liberdades das pessoas singulares, o responsável pelo tratamento procede,
antes de iniciar o tratamento, a uma avaliação de impacto das operações de
tratamento previstas sobre a proteção de dados pessoais. Se um conjunto

<http://www.planalto.gov.br/ccivil_03/_Ato2015-2018/2018/Lei/L13709.htm>. Acesso em: 28 de mar.


2019. 2018, p.n.p.
28 Ibidem., 2018, p.n.p.
29 BRASIL. LEI Nº 13.709, DE 14 DE AGOSTO DE 2018. Dispõe sobre a proteção de dados pessoais

e altera a Lei nº 12.965, de 23 de abril de 2014 (Marco Civil da Internet). Disponível em:
<http://www.planalto.gov.br/ccivil_03/_Ato2015-2018/2018/Lei/L13709.htm>. Acesso em: 28 de mar.
2019. 2018, p.n.p.
17
de operações de tratamento que apresentar riscos elevados semelhantes,
pode ser analisado numa única avaliação.
3. A realização de uma avaliação de impacto sobre a proteção de dados a
que se refere o n.o 1 é obrigatória nomeadamente em caso de:
a) Avaliação sistemática e completa dos aspetos pessoais relacionados com
pessoas singulares, baseada no tratamento automatizado, incluindo a
definição de perfis, sendo com base nela adotadas decisões que produzem
efeitos jurídicos relativamente à pessoa singular ou que a afetem
significativamente de forma similar;
b) Operações de tratamento em grande escala de categorias especiais de
dados a que se refere o artigo 9.o, n.o 1, ou de dados pessoais
relacionados com condenações penais e infrações a que se refere o artigo
10.o; ou
c) Controlo sistemático de zonas acessíveis ao público em grande escala. 30
Após a avaliação do impacto realizado no artigo 35, apresentando
elevado risco, e o responsável pelo tratamento não ofereça mecanismos que os
atenuem, a autoridade de controle dará orientações por escrito ao responsável ou
subcontratante, determinando ações mitigatórias.
Art. 36.
1. O responsável pelo tratamento consulta a autoridade de controlo antes de
proceder ao tratamento quando a avaliação de impacto sobre a proteção de
dados nos termos do artigo 35.o indicar que o tratamento resultaria num
elevado risco na ausência das medidas tomadas pelo responsável pelo
tratamento para atenuar o risco.
2. Sempre que considerar que o tratamento previsto referido no n.o 1
violaria o disposto no presente regulamento, nomeadamente se o
responsável pelo tratamento não tiver identificado ou atenuado
suficientemente os riscos, a autoridade de controlo, no prazo máximo de
oito semanas a contar da recepção do pedido de consulta, dá orientações,
por escrito, ao responsável pelo tratamento e, se o houver, ao
subcontratante e pode recorrer a todos os seus poderes referidos no artigo
58.o. Esse prazo pode ser prorrogado até seis semanas, tendo em conta a
complexidade do tratamento previsto. A autoridade de controlo informa da
prorrogação o responsável pelo tratamento ou, se o houver, o
subcontratante no prazo de um mês a contar da data de recepção do pedido

30REGULAMENTO (UE) 2016/679 DO PARLAMENTO EUROPEU E DO CONSELHO de 27 de abril


de 2016. Relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados
pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral
sobre a Proteção de Dados). <https://eur-lex.europa.eu/legal-
content/PT/TXT/PDF/?uri=CELEX:32016R0679&from=EN>. 2016, p. 53.
18
de consulta, juntamente com os motivos do atraso. Esses prazos podem ser
suspensos até que a autoridade de controlo tenha obtido as informações
que tenha solicitado para efeitos da consulta. 31
Ao tratar de consulta prévia, a LGPD determina que o controlador e o
operador devem manter registros das operações de tratamento, sendo omisso em
relação a qualquer previsão de estudo prévio, como demonstrado no artigo 37: “O
controlador e o operador devem manter registro das operações de tratamento de
dados pessoais que realizarem”32. (BRASIL. Lei 13.709, 2018, Art. 37).
Contudo, a autoridade nacional poderá determinar a elaboração de um
relatório de impacto, contendo a descrição das operações de tratamento de dados.
Vale ressaltar a discricionariedade do agente, que poderá ou não determinar,
diferentemente do Regulamento Europeu, onde exige a realização ao considerar que
o tratamento pode resultar em um elevado risco e não haver medidas necessárias
para sua mitigação. (EUROPA. REGULAMENTO 2016/679, 2016, Art. 36, 1 e 2).
Porém, na Lei brasileira, existe uma faculdade da autoridade em exigir a
elaboração do relatório de impacto à proteção de dados, evidente pelos artigos 37 e
38:
Art. 37. O controlador e o operador devem manter registro das operações
de tratamento de dados pessoais que realizarem, especialmente quando
baseado no legítimo interesse.

Art. 38. A autoridade nacional poderá determinar ao controlador que


elabore relatório de impacto à proteção de dados pessoais, inclusive de
dados sensíveis, referente a suas operações de tratamento de dados, nos
termos de regulamento, observados os segredos comercial e industrial.

Parágrafo único. Observado o disposto no caput deste artigo, o relatório


deverá conter, no mínimo, a descrição dos tipos de dados coletados, a
metodologia utilizada para a coleta e para a garantia da segurança das

31 REGULAMENTO (UE) 2016/679 DO PARLAMENTO EUROPEU E DO CONSELHO de 27 de abril


de 2016. Relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados
pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral
sobre a Proteção de Dados). <https://eur-lex.europa.eu/legal-
content/PT/TXT/PDF/?uri=CELEX:32016R0679&from=EN>. 2016, p. 54.
32 BRASIL. LEI Nº 13.709, DE 14 DE AGOSTO DE 2018. Dispõe sobre a proteção de dados pessoais

e altera a Lei nº 12.965, de 23 de abril de 2014 (Marco Civil da Internet). Disponível em:
<http://www.planalto.gov.br/ccivil_03/_Ato2015-2018/2018/Lei/L13709.htm>. Acesso em: 28 de mar.
2019. 2018, p.n.p.
19
informações e a análise do controlador com relação a medidas,
salvaguardas e mecanismos de mitigação de risco adotados. 33

5.6. TRANSFERÊNCIA INTERNACIONAL DE DADOS


O regulamento europeu permite a transferência internacional dos dados
pessoais para um país terceiro ou outra organização internacional, contudo, para tal,
é necessário que o recebedor dos dados mantenha um nível de proteção adequado,
não necessitando de autorização específica do titular, conforme dispositivos dos
artigos 44 e 45:
Artigo 44:
Qualquer transferência de dados pessoais que sejam ou venham a ser
objeto de tratamento após transferência para um país terceiro ou uma
organização internacional só é realizada se, sem prejuízo das outras
disposições do presente regulamento, as condições estabelecidas no
presente capítulo forem respeitadas pelo responsável pelo tratamento e
pelo subcontratante, inclusivamente no que diz respeito às transferências
ulteriores de dados pessoais do país terceiro ou da organização
internacional para outro país terceiro ou outra organização internacional.
Todas as disposições do presente capítulo são aplicadas de forma a
assegurar que não é comprometido o nível de proteção das pessoas
singulares garantido pelo presente regulamento.
Artigo 45:
1. Pode ser realizada uma transferência de dados pessoais para um país
terceiro ou uma organização internacional se a Comissão tiver decidido que
o país terceiro, um território ou um ou mais setores específicos desse país
terceiro, ou a organização internacional em causa, assegura um nível de
proteção adequado. Esta transferência não exige autorização específica. 34
A Lei brasileira também prevê a transferência de dados pessoais para
países ou organismos que respeitem a proteção disposta em sua previsão legal,
respeite os direitos do titular, o cumprimento dos princípios e o regime de proteção
de dados brasileiro. (BRASIL. Lei 13.709, 2018, Art. 33, I e II).

33 BRASIL. LEI Nº 13.709, DE 14 DE AGOSTO DE 2018. Dispõe sobre a proteção de dados pessoais
e altera a Lei nº 12.965, de 23 de abril de 2014 (Marco Civil da Internet). Disponível em:
<http://www.planalto.gov.br/ccivil_03/_Ato2015-2018/2018/Lei/L13709.htm>. Acesso em: 28 de mar.
2019. 2018, p.n.p.
34 REGULAMENTO (UE) 2016/679 DO PARLAMENTO EUROPEU E DO CONSELHO de 27 de abril

de 2016. Relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados
pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral
sobre a Proteção de Dados). <https://eur-lex.europa.eu/legal-
content/PT/TXT/PDF/?uri=CELEX:32016R0679&from=EN>. 2016, p. 60 e 61.
20
Portanto o país terceiro terá acesso aos dados quando as necessidades
do artigo 33, incisos III, IV, V, VI, VII, VIII e IX, estiverem presentes:
Art. 33. A transferência internacional de dados pessoais somente é
permitida nos seguintes casos:
III - quando a transferência for necessária para a cooperação jurídica
internacional entre órgãos públicos de inteligência, de investigação e de
persecução, de acordo com os instrumentos de direito internacional;

IV - quando a transferência for necessária para a proteção da vida ou da


incolumidade física do titular ou de terceiro;

V - quando a autoridade nacional autorizar a transferência;

VI - quando a transferência resultar em compromisso assumido em acordo


de cooperação internacional;

VII - quando a transferência for necessária para a execução de política


pública ou atribuição legal do serviço público, sendo dada publicidade nos
termos do inciso I do caput do art. 23 desta Lei;

VIII - quando o titular tiver fornecido o seu consentimento específico e em


destaque para a transferência, com informação prévia sobre o caráter
internacional da operação, distinguindo claramente esta de outras
finalidades; ou

IX - quando necessário para atender as hipóteses previstas nos incisos II, V


e VI do art. 7º desta Lei.35

5.7. COMITÊ PARA PROTEÇÃO DE DADOS


Como forma de assegurar a aplicação do GDPR e manter uma
cooperação conjunta pelas autoridades de controle, “o regulamento europeu
estabelece a criação do Comitê Europeu para a proteção de Dados”36. (EUROPA.

35 BRASIL. LEI Nº 13.709, DE 14 DE AGOSTO DE 2018. Dispõe sobre a proteção de dados pessoais
e altera a Lei nº 12.965, de 23 de abril de 2014 (Marco Civil da Internet). Disponível em:
<http://www.planalto.gov.br/ccivil_03/_Ato2015-2018/2018/Lei/L13709.htm>. Acesso em: 28 de mar.
2019. 2018, p.n.p.
36 REGULAMENTO (UE) 2016/679 DO PARLAMENTO EUROPEU E DO CONSELHO de 27 de abril

de 2016. Relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados
pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral
sobre a Proteção de Dados). <https://eur-lex.europa.eu/legal-
content/PT/TXT/PDF/?uri=CELEX:32016R0679&from=EN>. 2016, p. 68.
21
REGULAMENTO 2016/679, 2016, Art. 68).
Seguindo a mesma linha do GDPR, a lei brasileira de proteção de dados
garante a criação da Autoridade Nacional de Proteção de Dados (ANPD), contudo,
inicialmente o texto original teve sua criação vetada e incluída posteriormente pela
medida provisória nº 869, de 2018. (BRASIL. Medida Provisória nº 869, 2018, Art.
55-A).
A competência da Autoridade Nacional de Proteção de Dados está
prevista de forma taxativa no artigo 55-J, Lei brasileira:
Art. 55-J. Compete à ANPD:

I - zelar pela proteção dos dados pessoais;

II - editar normas e procedimentos sobre a proteção de dados pessoais;

III - deliberar, na esfera administrativa, sobre a interpretação desta Lei, suas


competências e os casos omissos.37

6. CONCLUSÃO

A tecnologia da informação possibilitou automatizar ações necessárias às


atividades diárias da humanidade através de aplicativos desenvolvidos em
linguagem de máquina e instruções de computador.
Contudo, ao evoluir tecnologicamente, disponibilizando informações e
serviços de forma instantânea em nível internacional, através da internet, na qual
realiza a junção das redes distribuídas e seus dados, possibilitou ataques Hackers
buscando a obtenção de dados sensíveis. Assim, os Estados perceberam a
necessidade de formular normas que possam nortear o desenvolvimento de
software com olhar seguro, determinando diretrizes, podendo, ainda, aplicar sanções
em caso de descumprimento da mitigação dos potenciais riscos identificados.
Desta forma, o Regulamento Geral sobre proteção de dados foi concebido
após décadas de discussões sobre o tema, sendo publicado em 27 de abril de 2016
e os efeitos vigentes em todo o território europeu. Os temas mais relevantes e
motivadores foram: o nível de controle, quais informações estavam disponíveis na

37BRASIL. LEI Nº 13.709, DE 14 DE AGOSTO DE 2018. Dispõe sobre a proteção de dados pessoais
e altera a Lei nº 12.965, de 23 de abril de 2014 (Marco Civil da Internet). Disponível em:
<http://www.planalto.gov.br/ccivil_03/_Ato2015-2018/2018/Lei/L13709.htm>. Acesso em: 28 de mar.
2019. 2018, p.n.p.
22
internet e qual a competência para tratar estes dados.
O regulamento europeu motivou a elaboração da Lei Geral de Proteção
de Dados brasileira, encerrando com as emendas em dispositivos na busca de
atender os acontecimentos pontuais relacionados ao tema, gerando uma grande
mudança na cultura tecnológica do Brasil.
Quando se trata da definição dos dados sensíveis, o regulamento
europeu descreve de maneira taxativa em quatro pontos: “dados pessoais”, "dados
de saúde", "dados biométricos" e "dados genéticos". Contudo, o regulamento
brasileiro trata do mesmo tema de forma mais genérica, se resumindo em dado
pessoal e dado pessoal sensível, englobando nestes, todos os pontos tratados pelo
regulamento europeu de modo mais extensivo, onde, ambos descrevem exceções
ao tratamento, permitindo este, sem o consentimento do titular do dado.
Para tanto, no regulamento europeu, existe uma proteção ostensiva aos
dados de menores, permitindo seu tratamento com consentimento do responsável
legal, caso seja menor de 16 anos, ademais, permite o tratamento em caso de
consentimento dado pelo titular, se maior de 16 anos. Assim, na Lei brasileira, para
que ocorra o tratamento de dados dos menores, deve-se considerar dois pontos:
melhor interesse do menor e o consentimento do representante legal.
Além de tudo, as políticas de proteção de dados são fatores de medidas
que asseguram o tratamento dos dados em conformidade com o regulamento
europeu e de responsabilidade do controlador de dados. Porém, a Lei brasileira
determina que tal função é de faculdade do controlador de dados.
Ao tratar da responsabilização, o regulamento europeu permite a
penalização dos controladores, operadores ou detentores dos dados, desta maneira,
a Lei brasileira permite a penalização ao que deveria zelar pelo sigilo, sendo mais
abrangente e mais detalhada que o regulamento europeu.
Quando se trata de estudo prévio, somente o regulamento europeu prevê
tal atividade. Desta forma a Lei brasileira se mostra omissa. Em contrapartida ambas
as normas tratam da transferência internacional de dados, compartilhando
informações necessárias quando o recebedor respeitar os mecanismos de proteção
de dados previstos no regulamento. Ademais, a Lei brasileira exige respeito aos
princípios e regime de proteção previstos em seu texto.
Percebe-se de forma evidente a grande influência do Regulamento

23
Europeu sobre a Lei Geral de Proteção de Dados brasileira, contudo, notam-se
grandes diferenças entre as normas. A legislação europeia detalha muitos pontos e
os descreve de modo mais definido que a lei brasileira, cabendo ressaltar que existe
uma cultura formada a respeito do assunto da proteção de dados em toda a Europa.
A lei brasileira, no entanto, não possui anterioridade ou norma mais antiga, sendo
um grande caminho de muita expectativa em relação a interpretação de alguns dos
seus dispositivos e como a sua aplicação será fiscalizada. A exemplo do
regulamento europeu, percebe-se, como essencial, a criação da Autoridade
Nacional de Proteção de Dados, incumbida de zelar pela aplicação da norma e
promover a legislação brasileira, difundindo seus princípios norteadores e garantindo
seu propósito, seja no que se refere aos aspectos jurídicos ou técnicos.

REFERÊNCIAS BIBLIOGRÁFICAS

BRASIL. LEI Nº 13.709, DE 14 DE AGOSTO DE 2018. Dispõe sobre a proteção de


dados pessoais e altera a Lei nº 12.965, de 23 de abril de 2014 (Marco Civil da
Internet). Disponível em: <http://www.planalto.gov.br/ccivil_03/_Ato2015-
2018/2018/Lei/L13709.htm>. Acesso em: 28 de mar. 2019.

BRASIL. MEDIDA PROVISÓRIA Nº 869, DE 27 DE DEZEMBRO DE 2018. Altera a


Lei nº 13.709, de 14 de agosto de 2018, para dispor sobre a proteção de dados
pessoais e para criar a Autoridade Nacional de Proteção de Dados, e dá outras
providências. Disponível em: <http://www.planalto.gov.br/ccivil_03/_Ato2015-
2018/2018/Mpv/mpv869.htm#art1>. Acesso em: 28 de mar. 2019.

BRAZ, Fabrício. Software Seguro. Comentários e sugestões sobre segurança de


software. 2012. Disponível em:
<http://www.saudeetrabalho.com.br/download/espaco-abnt.doc>. Acesso em: 26
mar. 2019.

CERT.br, Centro de Estudos. Resposta e Tratamento de Incidentes de Segurança


no Brasil. Cartilha de Segurança para Internet. Parte I: Conceitos de Segurança.
Versão 3.0 – setembro de 2015.

CERT.br, Centro de Estudos. Resposta e Tratamento de Incidentes de Segurança


no Brasil. Cartilha de Segurança para Internet. Parte 04: Fraudes na Internet.
Versão 3.0 – setembro de 2015.

ESPINHA, Rafael de Souza Lima. Uma Abordagem para a Avaliação de


Processos de Desenvolvimento de Software Baseada em Risco e
Conformidade. Dissertação de Mestrado (Mestrado pelo Programa de Pós-
Graduação em Informática) - Pontifícia Universidade Católica do Rio de Janeiro, Rio
de Janeiro, 2007.
FERREIRA, Fernando. Segurança da Informação. Rio de Janeiro: Editora Ciência
24
Moderna, 2003.

Gerência de riscos em desenvolvimento de software. Disponível em:


<http://www.devmedia.com.br/gerencia-de-riscos-em-desenvolvimento-de-
software/28506>. Acesso em: 26 mar. 2019.

GERÊNCIA DE RISCOS NA ENGENHARIA DE SOFTWARE. Disponível em:


<http://www.maxwell.lambda.ele.puc-rio.br/10205/10205_5.PDF>. Acesso em: 26
mar. 2019.

Gerenciamento de Riscos Corporativos - Estrutura Integrada. Disponível em:


<http://www.coso.org/documents/COSO_ERM_ExecutiveSummary_Portuguese.pdf>
. Acesso em: 26 mar. 2019.

HOGLUND, Greg. A arte de explorar (e proteger) software. São Paulo. Ed


Pearson Makron Books, 2006.

Integrando Segurança ao Processo de Desenvolvimento de Software. Disponível


em: <http://professor.unisinos.br/llemes/Aula11/Aula11.pdf>. Acesso em: 26 mar.
2019.

JUNCKES, Gabriel Dias e MORGADO, Paulo Melhorando Processos Através da


Análise de Risco e Conformidade. 2012. Disponível em:
<http://www.devmedia.com.br/artigo-engenharia-de-software-melhorando-processos-
atraves-da-analise-de-risco-e-conformidade/8030>. Acesso em: 26 mar. 2019.

LEMOS, Ronaldo. A entrada em vigor da GDPR, nova regulação para proteção


de dados pessoais, traz novos desafios. <https://www.jota.info/opiniao-e-
analise/artigos/gdpr-dados-pessoais-europa-25052018>. Acesso em: 26 mar. 2019.

LIMA, Glaydson de Farias. Manual de direito digital: fundamentos, legislação e


jurisprudência. 1. ed. – Curitiba: Appris 2016.

LIPNER, Steve e HOWARD, Michael. O ciclo de vida do desenvolvimento da


segurança de computação confiável. Disponível em: <http://msdn.microsoft.com/pt-
br/library/ms995349.aspx>. Acesso em: 26 mar. 2019.

MACHADO, José Mauro Decoussau. LGPD E GDPR: UMA ANÁLISE


COMPARATIVA ENTRE AS LEGISLAÇÕES.
<http://www.pinheironeto.com.br/Pages/publicacoes-detalhes.aspx?nID=1362>.
Acesso em: 26 mar. 2019.

MONTEIRO. Renato Leite. Lei Geral de Proteção de Dados do Brasil: análise


contextual detalhada. <https://www.jota.info/opiniao-e-analise/colunas/agenda-da-
privacidade-e-da-protecao-de-dados/lgpd-analise-detalhada-14072018>. Acesso em:
26 mar. 2019.

25
MOTA, Lucélia Vieira. SEGURANÇA DA INFORMAÇÃO NO PROCESSO SERPRO
DE DESENVOLVIMENTO DE SOLUÇÕES (PSDS). Monografia (Dissertação em
Gestão da Segurança da Informação e Comunicações) - Universidade Federal de
Brasília, Brasília, 2011.

MSDN Magazine - Encontre e corrija vulnerabilidades antes de lançar seu aplicativo.


Disponível em: <http://msdn.microsoft.com/pt-br/magazine/cc163312.aspx>. Acesso
em: 26 mar. 2019.

OWASP. CLASP Process. Disponível em: <http://pravir.org/clasp/OWASP-


CLASP.zip>. Acesso em: 26 mar. 2019.

OWASP - Melhores Práticas de Codificação Segura OWASP Guia de Referência


Rápida. Disponível em:
<https://www.owasp.org/images/b/b3/OWASP_SCP_v1.3_pt-BR.pdff>. Acesso em:
26 mar. 2019.

OWASP ASVS - Padrão de Verificação de Segurança da Aplicação. Disponível


em:
<https://www.owasp.org/images/2/2b/OWASP_ASVS_2009_Web_App_Std_Release
_PT-BR.pdf>. Acesso em: 26 mar. 2019.

Pinheiro, Patrícia Peck. Proteção de Dados Pessoais Comentários à Lei n.


13.709/2018 LGPD. Saraiva Educação. Edição do Kindle, 2018.

Política de segurança da informação – conceitos, característica e benefícios.


Disponível em: <http://www.profissionaisti.com.br/2013/08/politica-de-seguranca-da-
informacao-conceitos-caracteristicas-e-beneficios/>. Acesso em: 26 mar. 2019.

Processo de desenvolvimento de software seguro através da identificação de níveis


de segurança. Disponível em:
<http://www.santoangelo.uri.br/stin/Stin/trabalhos/03.pdf>. Acesso em: 26 mar. 2019.

REGULAMENTO (UE) 2016/679 DO PARLAMENTO EUROPEU E DO CONSELHO


de 27 de abril de 2016. Relativo à proteção das pessoas singulares no que diz
respeito ao tratamento de dados pessoais e à livre circulação desses dados e que
revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados).
<https://eur-lex.europa.eu/legal-
content/PT/TXT/PDF/?uri=CELEX:32016R0679&from=EN>. Acesso em: 28 de mar.
2019.

RICARDO, José. Proteção de dados: qual sua relevância e motivação?


<https://jfogaca.com/2018/11/11/protecao-de-dados-qual-sua-relevancia-e-
motivacao/>. Acesso em: 26 mar. 2019.

RONCOLATO, Murilo. O que diz a nova lei de proteção de dados da Europa. E o


efeito no Brasil. <https://www.nexojornal.com.br/expresso/2018/05/25/O-que-diz-a-
nova-lei-de-prote%C3%A7%C3%A3o-de-dados-da-Europa.-E-o-efeito-no-Brasil>.
Acesso em: 26 mar. 2019.

26
PSI – Política de Segurança da Informação. Disponível em:
<http://www.sp.senac.br/normasadministrativas/psi_normas_administrativas.pdf>.
Acesso em: 26 mar. 2019.

Segurança da informação. Disponível em:


<http://pt.wikipedia.org/wiki/Seguran%C3%A7a_da_informa%C3%A7%C3%A3o#Co
nceitos_de_seguran.C3.A7a>. Acesso em: 26 mar. 2019.

Segurança na web Uma janela de oportunidades. Disponível em:


<https://www.owasp.org/images/1/16/Seguranca_na_web_-
_uma_janela_de_oportunidades.pdf>. Acesso em: 26 mar. 2019.

Segurança no Desenvolvimento de Sistemas com Metodologia Ágil SCRUM.


Disponível em: <http://pt.slideshare.net/BrunoMottaRego/segurana-no-
desenvolvimento-de-sistemas-com-metodologia-gil-scrum >. Acesso em: 26 mar.
2019.

Segurança no Desenvolvimento de Software. Disponível em:


<http://pt.slideshare.net/marcelomf/segurana-no-desenvolvimento-de-software-
presentation >. Acesso em: 26 mar. 2019.

SOARES, Rafael. Auditoria Teste de Invasão (Pentest) – Planejamento, Preparação


e Execução. 2010. Disponível em: <http://www.seginfo.com.br/auditoria-teste-de-
invasaopentest-planejamento-preparacao-e-execucao/>. Acesso em: 26 mar. 2019.

Understanding the Model. Disponível em:


<https://www.owasp.org/images/c/c0/SAMM-1.0.pdf>. Acesso em: 26 mar. 2019.

27