“A Lei Geral de Proteção de Dados e

seu impacto na Captação de Recursos”

Amanda Faria
Amanda Faria
Amanda dos Santos Faria é bacharel em Direito pela Faculdade
de Direito da Universidade Presbiteriana Mackenzie há 11
anos, especialista em Direito Digital, com foco na área de
proteção de dados, e Direito Imobiliário. Pós-graduada pelas
Pontifícia Universidade Católica de São Paulo (PUC-SP) e
Universidade SECOVI. Possui experiência profissional em
grandes empresas do setor privado, dentre elas, Gafisa S.A.,
Tenda S.A. e SBA Communications. Nos últimos anos vem
atuando de forma consultiva em empresas ligadas à tecnologia
e com foco em manipulação de dados, já trabalhando para a
adequação das mesmas às novas determinações legais trazidas
pela LGPD (Lei Geral de Proteção de Dados). Sócia da Facilita
Social, empresa pioneira na captação de recursos via whatsapp.
Origem LGPD

Desde 1960: Preocupação jurídica Foram 8 anos de debates e

processamento de dados com relação a proteção redações legislativas, para que
em larga escala e de de dados pessoais. em agosto de 2018, o então
forma centralizada presidente Michel
Temer, sancionasse a Lei Geral
de Proteção de Dados do
Brasil (LGPD), Lei 13.709/2018.
General Data Protection Regulation (GDPR)
Escândalos como o da Cambridge Analytics e o
Facebook, suspeição sobre disseminação de fake
news no Brexit e a suspeita de manipulação na
eleição de Donald Trump, fizeram os alarmes
soarem por toda a União Européia.

Além de ter se tornado a principal legislação sobre

proteção de dados do mundo, influenciou
fortemente a legislação brasileira.
Conceitos fundamentais à LGPD
Constituição Federal de 1988, art. 5º, inciso X, e nosso Código Civil brasileiro, artigo 21, os quais
fundamentam a proteção à privacidade, vejamos:

i) a vida privada da pessoa;

ii) o direito à privacidade.

Entrada em vigor prevista para agosto de 2020.

A LGPD surge, assim como a GDPR, da constatação que os dados pessoais são:

a. um ativo econômico valioso;

b. um dado político perigoso, quando mal manejado;
c. um bem jurídico importante a ser tutelado pela legislação.
Afinal, o que a LGPD
efetivamente tutela?
Para os fins desta Lei, considera-se:

Art. 5º [...]
X – tratamento (é toda): toda operação realizada com
dados pessoais, como as que se referem a coleta,
produção, recepção, classificação, utilização, acesso,
reprodução, transmissão, distribuição,
processamento, arquivamento, armazenamento,
eliminação, avaliação ou controle da informação,
modificação, comunicação, transferência, difusão ou
extração; (grifos nossos)

Se a sua organização ou você pratica qualquer um desses atos listados na lei, sua atividade passa a ser
regulada também por esse novo diploma legal.
 Territorialmente, onde a LGPD se aplica?
Independentemente da origem da empresa (pública ou privada), aplica-se a LGPD:

(i) a qualquer operação de tratamento realizada no território nacional; OU

(ii) a atividade de tratamento tenha por objetivo a oferta ou fornecimento de bens

e serviços ou o tratamento de dados localizados no território nacional; OU

(iii) os dados pessoais tenham sido coletados no território nacional, ou seja,

aqueles dados cujo titular se encontre em território nacional no momento da
coleta.

A lei é aplicada a todos os setores da economia.

Sobre a transferência de dados extraterritorial: pode ocorrer, desde que para

países que proporcionem grau de proteção de dados pessoais adequado ao
previsto na lei brasileira.
O que precisamos entender sobre a LGPD?

As 9 principais definições trazidas pelo Art. 5º da LGPD

 Dado pessoal: informação Dado pessoal sensível: dado pessoal sobre
relacionada à pessoa natural origem racial ou étnica, convicção religiosa,
identificada ou identificável. opinião política, filiação a sindicato ou a
organização de caráter religioso, filosófico ou
político, dado referente à saúde ou à vida
sexual, dado genético ou biométrico, quando
vinculado a uma pessoa natural;
Dado anonimizado: dado
relativo a titular que não possa
ser identificado, considerando
a utilização de meios técnicos
razoáveis e disponíveis na
ocasião de seu tratamento;
Titular: pessoa natural a quem
se referem os dados pessoais
que são objeto de tratamento;
Controlador: pessoa natural ou jurídica,
de direito público ou privado, a quem
competem as decisões referentes ao
tratamento de dados pessoais;
Operador: pessoa natural ou
jurídica, de direito público ou
privado, que realiza o
tratamento de dados pessoais
em nome do controlador;
 Agentes de tratamento:
o controlador e o operador;
Tratamento: toda operação realizada com
dados pessoais definidas no artigo 5º da
LGPD.
Consentimento: manifestação
livre, informada e inequívoca
pela qual o titular concorda
com o tratamento de seus
dados pessoais para uma
finalidade determinada.
 Atividades de tratamento
Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:
I - mediante o fornecimento de consentimento pelo titular;
II - para o cumprimento de obrigação legal ou regulatória pelo controlador;
III - pela administração pública, [...];
IV - para a realização de estudos por órgão de pesquisa, [...];
V - quando necessário para a execução de contrato [...], a pedido do titular dos dados;
VI - para o exercício regular de direitos em processo judicial, administrativo ou arbitral, [...];
VII - para a proteção da vida ou da incolumidade física do titular ou de terceiro;
VIII - para a tutela da saúde, [...];
IX - quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso
de prevalecerem direitos e liberdades fundamentais do titular [...]; ou
X - para a proteção do crédito, [...].
[...]

Dados públicos:
§ 3º O tratamento de dados pessoais cujo acesso é público deve considerar a finalidade, a boa-fé e o
interesse público que justificaram sua disponibilização.
Atividades de tratamento

PARÁGRAFO FUNDAMENTAL AO COMPARTILHAMENTO DE DADOS PARA

CAPTAÇÃO DE RECURSOS:

Artigo 7º, § 5º O controlador que obteve o consentimento [...] que

necessitar comunicar ou compartilhar dados pessoais com outros
controladores deverá obter consentimento específico do titular para esse
fim, [...].
 Atividades de tratamento
Artigos 6º e 50º da LGPD

Boas Práticas
Necessária a formulação de regras de boas
práticas e de governança que estabeleçam
as condições de organização,
procedimentos, regime de funcionamento,
normas de segurança da informação,
padrões técnicos, obrigações específicas
O tratamento das informações deve para os indivíduos envolvidos no
ocorrer para propósitos lícitos, tratamento, ações educativas,
legítimos, específicos, explícitos, mecanismos internos de supervisão e
limitados à finalidade informada ao mitigação de riscos, dentre outros
titular dos dados, de modo não específicos à atividade de cada
excessivo. organização.
 “O” CONSENTIMENTO
Artigo 8º da LGPD

O consentimento deverá:

a. Ser fornecido por escrito ou por outro meio que demonstre a manifestação de vontade do
titular em cláusula destacada das demais; (meio físico ou digital)

b. Poderá ser revogado a qualquer momento pelo titular;

c. Serão nulos os consentimentos genéricas para o tratamento de dados pessoais.

Caberá ao controlador o ônus da prova de que o consentimento foi obtido em conformidade com
o disposto na Lei.
Dado pessoal sensível
Artigo 11º DA LGPD

Os Dados Pessoais Sensíveis merecem tratamento ainda mais

especial, o CONSENTIMENTO deve ser fornecido de forma específica
e destacada.

Ainda no que se referem esses dados sensíveis, especificamente, a lei

prevê a possibilidade de criação de dispositivo legal próprio, apto a
vedar sua comunicação ou compartilhamento com a finalidade de
obtenção de vantagem econômica. Nesse sentido, a responsável por
esta regulamentação será a Autoridade Nacional de Proteção de
Dados (ANPD, aprovada pela Câmara e nos últimos dias pelo Senado,
aguardando, apenas aprovação da Presidência).
Anonimização de dados
Artigo 12º da LGPD

Dados anonimizados não serão considerados “dados

pessoais” para os fins da LGPD, salvo quando o processo de
anonimização puder ser revertido, utilizando-se
exclusivamente meios próprios ou com esforços razoáveis.

Poderão ser igualmente considerados

como “dados pessoais”, para os fins desta
Lei, aqueles utilizados para formação do
perfil comportamental de determinada
pessoa natural, se identificada.
Direitos do titular de dados
Artigo 18º da LGPD

Existe a obrigação de manutenção de informações

claras sobre (i) o modo e o critério de tratamento dos
dados, bem como (ii) identificação dos dados
tratados. Essas ações dependem do remodelamento
tecnológico, mediante adaptação da organização
(instalação de servidores - em nuvem ou não - ),
manutenção de antivírus, etc.

DESAFIO ÀS ORGANIZAÇÕES:

● GOVERNANÇA - Criação de processos, procedimentos, bem

como um fluxo de recebimento e envio de informações,
visando à segurança dos dados pessoais;

● As informações podem ser solicitadas, a qualquer instante,

pela ANPD, devendo ser fornecidas imediatamente;

● Sugestão: criação de um Comitê de Segurança da Informação

para análise dos procedimentos internos (envolvendo jurídico,
negócios e tecnologia da informação).
 Tecnologia à Favor do Terceiro Setor

Relacionamento seguro e Transparência nos dados e Automação humanizada e

direto com os doadores em transações com emissão de personalizada com o tom de
todos os canais de contato, relatórios e controle total das voz da instituição,
como WhatsApp, Facebook, operações de relacionamento. aproximando ainda mais o
Telegram, entre outros doador
Da Responsabilidade e do
Ressarcimento de Danos
Artigos 42º e 43º da LGPD

Os agentes de tratamento que causarem a outrem dano patrimonial, moral,

individual ou coletivo, estarão obrigados a repará-lo.

EXCLUSÕES DE ILICITUDE - os agentes de tratamento só não serão responsabilizados

quando provarem:

I - que não realizaram o tratamento de dados pessoais que lhes é atribuído;

II - que, embora tenham realizado o tratamento de dados pessoais, não houve violação à
legislação de proteção de dados; ou

III - que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiro.
 Sanções Administrativas
Artigos 52º e 53º

Aos violadores da lei serão aplicadas as seguintes medidas:

a. Advertência (com indicação de prazo para correção);

b. multa simples de até 2% do faturamento da pessoa jurídica,
excluídos tributos, no total de até 50MM/infração;
c. multa diária, observado o limite indicado;
d. publicização da infração;
e. bloqueio de dados pessoais a que se refere a infração até a
sua regularização;
f. eliminação de dados pessoais a que se refere a infração.

ANPD definirá as metodologias que orientarão o cálculo do

valor-base das sanções de multa.
A LGPD e o Terceiro Setor:
para onde vamos?
Novas práticas
● A partir de agosto de 2020, a lei não deixará brechas para o
tratamento e/ou compartilhamento de dados pessoais, sem o
CONSENTIMENTO de seu titular de direito;

● Medida indispensável: a obtenção de termos autorizações

específicas. Isso se aplica notadamente aos mailings utilizados
pelas organizações;

● Guarda segura dos dados tratados, bem como o registro de cada

consentimento fornecido (forma digital e/ou eletrônica), é
medida primordial.;

● De outra feita, considerando a toda a sensibilidade que envolve

do terceiro setor, bem como a pessoalidade de cada indivíduo
com quem as organizações mantém relações, nossa visão é a de
que a LGPD chegou para estreitar ainda mais esse
relacionamento, bem como criar laços ainda mais transparentes e
de confiabilidade.
Amanda Faria
(11) 98864.8483
facilitabots.com
amanda@facilitabots.com
Agradecemos a sua participação!