Manual de Adaptação

das Autogestões à LGPD
Lei Geral de Proteção de Dados Pessoais
Lei 13.709, de 2018
Sumário
O que é?..............................................................................................................................5
Momento Atual....................................................................................................................5
Conceitos Indispensáveis Trazidos pela LGPD.......................................................................6
Aplicabilidade......................................................................................................................7
Hipóteses de Legítimo Tratamento de dados na Saúde Suplementar....................................7
A Figura do Consentimento..................................................................................................9
Exceções quanto à aAplicabilidade.....................................................................................10
Responsabilidade dos Agentes de Tratamento....................................................................10
Direitos do Titular...............................................................................................................12
Fiscalização.......................................................................................................................12
Sanções LGPD...................................................................................................................13
O Princípio da Transparência e a Política de Privacidade ....................................................14
Relação entre Controlador e o Operador dos dados............................................................14
Revisão dos Contratos.......................................................................................................15
Condutas Internas para Proteção de Dados........................................................................16
Crianças e Adolescentes....................................................................................................16
Compartilhamento e Transferência de Dados via E-mail ....................................................16
Término do Tratamento de Dados.......................................................................................17
Períodos para Guarda dos Documentos.............................................................................17
Ensaio sobre Roteiro de Adequação das Autogestões à LGPD............................................18
Pontos Finais que Merecem Destaque...............................................................................20
Bibliografia.........................................................................................................................21

2
Proteção de Dados Pessoais
e Seus Reflexos na Área da Saúde
Suplementar - Autogestões

EXPEDIENTE
DIRETORIA EXECUTIVA: Selma Fernandes Rodrigues - CASEC Rafael Dias da Cunha
PRESIDENTE: ANDERSON MENDES Geraldo H.Oliveira Nogueira - ASFAL Bruna Ariane Duque
VICE-PRESIDENTE: CLEUDES CERQUEIRA DE FREITAS Rodrigo Collares Arantes - BANCO CENTRAL
DIRETOR ADMINISTRATIVO-FINANCEIRO: FELIPE FREITAS ECONOMUS:
DIRETOR DE COMUNICAÇÃO: MAURÍCIO MESSIAS SUPLENTES: Eline Mazucato de Souza Chinaglia
DIRETOR DE INTEGRAÇÃO: WERNER DUARTE DALLA Carlos Borges Machado (FUNDAÇÃO COPEL) Antonio Carlos Perocco
DIRETORA TÉCNICA: MARINA YASUDA Vinícius Maravalha Paes (CAURJ) Thais Barcellos Rodrigues
DIRETORA DE TREINAMENTO E DESENVOLVIMENTO: Patricia Ribeiro de Oliveira Neto (FAPES)
PRISCILLA VIEIRA DE MOURA
CONSELHO FISCAL: COPASS SAÚDE :
CONSELHO DELIBERATIVO: Fátima Taher Jounis (FUNDAFFEMG) ALOISIO PEREIRA DA SILVA VIDIGAL
Aníbal de Oliveira Valença – ASFAL Gildo Alves Pereira (FUPS)
Hugo Avelino dos Anjos Lima – AMMP LEXISNEXIS:
José A. Diniz Oliveira – FIOSAÚDE ESTE TRABALHO CONTOU COM A COLABORAÇÃO DE: OLIVIA F. PINTO
Ocione Marques Mendonça – CAMED
Izabella Pacheco Guimarães - E-VIDA TORO & ADVOGADOS ASSOCIADOS: OLIVEIRA RODARTE ADVOGADOS:
Pablo Cavalcanti de Andrade Lima Brito - FISCO SAÚDE José Luiz Toro da Silva Ana Paula Pinheiro
Marcos Roberto M. Ribeiro – CASU Gisele Ferreira Soares
1. O que é?
Essencialmente, a Lei Geral de Proteção de Dados Pessoais (LGPD) é um conjunto de regras que confere aos
cidadãos maior controle sobre seus dados pessoais.
Vale destacar o fato de que a LGPD não se limita aos ambientes virtuais e a questões voltadas para tecnologia,
sendo, portanto, uma mudança substancial na abordagem referente à privacidade por parte dos cidadãos,
órgãos públicos, instituições e entidades privadas.
A LGPD, assim como a General Data Protection Regulation, é uma norma baseada em princípios, e, ao regular
a proteção dos dados pessoais, garante direitos aos cidadãos e estabelece regras claras sobre as operações
de tratamento realizadas por órgãos públicos e instituições privadas.
Com o advento da Lei nº. 13.709 de 2018, surge um paradigma voltado à segurança no tratamento de dados
na sociedade brasileira e, com isso, a necessidade de se pensar quais as medidas a serem tomadas, para
que se garanta a segurança das informações utilizadas durante o exercício de suas respectivas atividades.
Diante disso, se fez necessária a adaptação da realidade à norma, com enfoque atualizado nos princípios que
norteiam o direito à proteção da privacidade e intimidade das pessoas, exigindo-se de todos que lidam com
dados pessoais a adaptação a esse novo contexto social.
Nesse passo, quando pensamos nas Autogestões, sob a ótica da Lei nº. 13.709 de 2018, conclui-se que,
pela natureza dos dados pessoais que são por elas tratados, quais sejam, quaisquer dados relacionados à
saúde humana, serão necessárias uma série de providências para que se mantenha o exercício regular de
suas atividades, sem com isso, colidir com o determinado pela LGPD.
Este manual foi produzido diante da necessidade de estabelecer critérios para a coleta e tratamento de
dados, apresentando as principais mudanças e norteando quais os primeiros passos a serem tomados pelas
Autogestões para adequação ética e legal.
O intuito é auxiliar as Autogestões, que obrigatoriamente realizarão o processo de adaptação às regras trazidas
pela Lei. Contudo, cada entidade deverá, dentro de suas peculiaridades, demandar a atenção necessária para
a adequação à LGPD, considerando para isso suas características organizacionais e de dimensão.

2. Momento Atual
Historicamente, o conceito de privacidade somente é tido como um direito fundamental do ser humano1 no
fim do século XIX, a partir do famoso artigo de Brandeis e Warren, The Right to Privacy 2.
Atualmente, as informações possuem capacidade para influenciar tudo, consequentemente surge uma
preocupação acerca do que é permitido ou não quando se trata do tratamento de dados pessoais, seja para
sua coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão ou qualquer outro
ato que possa interferir no direito de privacidade do indivíduo.
As trocas de informações se tornaram cada vez mais rápidas e com isso, torna-se cada vez mais complexa
a definição do que é privacidade e quais os limites para as informações que circulam, principalmente em
ambiente eletrônico.

1 Sua primeira menção foi em 1948, na Declaração Universal dos Direitos e Deveres do Homem, vindo em seguida a comportar a Declaração
Universal dos Direitos do Homem, aprovada pela Assembleia Geral das Nações Unidas; além da Convenção Europeia dos Direitos do Homem,
de 1950, e a Convenção Americana dos Direitos do Homem, conhecida também como “Carta de San José”, de 1969 e, a Carta dos Direitos
Fundamentais da União Europeia (2000).
2 Samuel Warren e Louis Brandeis, “the right to privacy”, in: 4 Harvard Law Review 193 (1890).

4
No momento em que, por exemplo, um cidadão clica em “comprar”, “enviar”, “reservar” ou “visualizar”,
instantaneamente inúmeros dados pessoais são capturados e armazenados.
A vigência da LGPD se dará a partir do mês de agosto de 2020 e, até lá, todos deverão estar em conformidade
com as diretrizes estipuladas na Lei.

3. Conceitos Indispensáveis Trazidos pela LGPD

Alguns termos são indispensáveis para entendermos o intuito da Lei Geral de Proteção de Dados Pessoais e
sua abrangência dentro das relações.
Acerca dos dados, se dividem nas seguintes categorias:
Dado pessoal - informação relacionada a pessoa natural
identificada ou identificável.
Dado pessoal sensível - dado pessoal sobre origem
racial ou étnica, convicção religiosa, opinião política,
filiação a sindicato ou a organização de caráter religioso,
filosófico ou político, dado referente à saúde ou à vida
sexual, dado genético ou biométrico, quando vinculado a
uma pessoa natural.
Dado anonimizado - dado relativo ao titular que não
possa ser identificado, considerando a utilização de
meios técnicos razoáveis e disponíveis na ocasião de seu
tratamento.
Banco de dados - conjunto estruturado de dados
pessoais, estabelecido em um ou em vários locais,
em suporte eletrônico ou físico. Aqui se enquadram
as informações localizadas em servidores, backups, e
demais locais de armazenamento que possam conter
dados pessoais de titulares.
Para os fins da Lei Geral de Proteção de Dados Pessoais,
considera-se:
Titular - pessoa natural a quem se referem os dados
pessoais que são objeto de tratamento, incluindo,
portanto, beneficiários, funcionários e colaboradores.
Controlador - pessoa física ou jurídica de direito público
ou privado, responsável pelas decisões referentes ao
tratamento de dados pessoais.
Operador - pessoa física ou jurídica de direito público ou
privado, que realiza o tratamento de dados pessoais em
nome do controlador.
Encarregado (EPD) - pessoa indicada pelo controlador
e operador para atuar como canal de comunicação entre

5
o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados. Será responsável por
receber reclamações e comunicações de titulares e órgãos competentes, prestar esclarecimentos, adotar
providências e orientar funcionários sobre as boas práticas, dentre outras atribuições.
Autoridade Nacional de Proteção de Dados (ANPD) - órgão da administração pública responsável por
zelar, implementar e fiscalizar o cumprimento da Lei.
É importante também, compreender as operações realizadas com os dados pessoais. Acerca disso, a LGPD
apresenta definições que merecem atenção. Tais como:
Tratamento - toda operação realizada com dados pessoais, como as que se referem a coleta, produção,
recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento,
arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação,
transferência, difusão ou extração.
Anonimização - utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio
dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo.
Eliminação - exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente
do procedimento empregado.
Uso compartilhado de dados - comunicação, difusão, transferência internacional, interconexão de dados
pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no
cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização
específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes
privados.

4. Aplicabilidade
A LGPD se aplica em qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de
direito público ou privado, incluindo, portanto, as Autogestões, independentemente do meio, do país de sua
sede ou do país onde estejam localizados os dados, desde que:
A. A operação de tratamento seja realizada no território nacional;
B. A atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o
tratamento de dados de indivíduos localizados no território nacional; e
C. Os dados pessoais objeto do tratamento que tenham sido coletados no território nacional, isto é,
quando o titular dos dados aqui se encontre no momento da coleta.
Assim, através de princípios e regras, a LGPD traça novos limites para o relacionamento daquele que controla
as informações (controladores), quem as manipula (operadores) e o proprietário dos dados pessoais (titular).
No âmbito da Saúde Suplementar, especificamente no que se refere às Autogestões, temos como sujeitos
de tratamento de dados:
Controlador – O Controlador é o agente que possui legitimidade e poder de gerência sobre dos dados
pessoais do titular, neste caso, podemos citar a Instituição de Autogestão como Controladora de dados
pessoais de seus Beneficiários.

6
Operador – O Operador aparece como sujeito designado pelo Controlador para cumprimento de determinado
processamento de dados pessoais. Podemos citar, a título de exemplo, quando enquadrado nessas descrições,
os hospitais credenciados pelas Autogestões.
Encarregado (EPD) – O Encarregado aparece como um agente de mediação entre o Titular, o Controlador e
a Autoridade Nacional de Proteção de Dados.
Titular – Em caráter exemplificativo, podemos considerar tanto o Beneficiário, como os colaboradores da
Instituição como Titulares dos Dados Pessoais dentro da Autogestão.
Esses são alguns dos exemplos de como as Autogestões poderão se enquadrar os agentes do mercado de
saúde suplementar sob o prisma da LGPD, contudo, considerando as diversas variáveis de negociação e
tratamentos possíveis, o rol exemplificativo trazido nos parágrafos anteriores não esgota todas as hipóteses
abrangidas pela Lei.

5. Hipóteses de Legítimo Tratamento de dados

na Saúde Suplementar
A Lei prevê dez hipóteses onde há legitimidade nos tratamentos de dados pessoais, sendo importante
esclarecer que tais hipóteses possuem caráter alternativo, não sendo exigível a presença cumulativa para o
exercício regular do tratamento.
Quando pensamos no âmbito da Saúde Suplementar, se observa que, devido a própria natureza da prestação
dos serviços seria impossível o seu exercício sem o tratamento de dados pessoais.
A título de exemplo, podemos citar, como tratamento de dados pessoais na área da Saúde Suplementar, todos
os atos voltados a autorização de procedimentos, auditorias, declarações de saúde, análise de diagnósticos
e resultados, pagamento de honorários médicos e até a troca de dados entre a Agência Reguladora e a
Operadora.
É necessário se ter em mente que dados pessoais referentes à saúde, juntamente com as informações
acerca da origem racial ou étnica, convicção religiosa, opinião política e à vida sexual, dados genéticos ou
biométricos – quando vinculados a uma pessoa natural se enquadram na categoria denominada de dados
pessoais sensíveis.
Dito isso, é importe saber que não será possível realizar o tratamento de dados pessoais sensíveis com base
no legítimo interesse ou na proteção do crédito3.
Especificamente para as Autogestões, é legitimo o tratamento de dados pessoais quando do cumprimento
de obrigação legal ou regulatória, para o exercício regular de direitos e para proteção da vida ou integridade
física do titular ou terceiros.
Dessa maneira, considerando a extrema importância do tema, será realizada a seguir, uma análise mais
detalhada sobre mencionadas hipóteses.
I. Para o cumprimento de obrigação legal ou regulatória pelo controlador
Essa hipótese de tratamento de dados pessoais está prevista no artigo 11, II, “a” da LGPD e nesta situação se
enquadram muitos dos tratamentos de dados pessoais de seus beneficiários realizados pelas Autogestões,
uma vez que são estipuladas diversas normas reguladoras pela Agência Nacional de Saúde Suplementar que
para o seu cumprimento, exigem o tratamento de dados.
3 COTS, Op. Cit. p. 137.

7
Importante lembrar que a nova legislação não exclui a obrigação das Autogestões em se atentar e cumprir
com as Resoluções já existentes da Agência Nacional de Saúde Suplementar acerca da proteção de
informações do beneficiário.
Registre-se que a LGPD busca a flexibilização do tratamento de dados de saúde entre controladores, desde
que para adequada prestação dos serviços de saúde suplementar.
Ainda estabelece a LGPD, que é vedado às operadoras de planos privados de assistência à saúde o
tratamento de dados de saúde para a prática de seleção de riscos na contratação de qualquer modalidade,
assim como na contratação e exclusão de beneficiários.
II. Para a proteção da vida ou da incolumidade física do titular ou de terceiros
Há previsão legal para o tratamento de dados em situações onde está em risco a integridade física do titular
ou de terceiros. Tal premissa vai ao encontro das garantias fundamentais previstas na Constituição Federal.
III. Para o exercício regular de direitos
Essa é considerada uma das hipóteses de tratamentos de dados pessoais mais importantes, em que a
legitimidade para o tratamento encontra fundamentação no exercício regular de direitos do Controlador.
O tratamento fundamentado nessa categoria, abrange contratos, processos judiciais, administrativos e
arbitrais, porém, diferente do que se faz entender em primeiro momento, o exercício regular de direitos não
acolhe todos os atos de tratamento realizados pelas Autogestões.
A Lei Geral de Proteção de Dados Pessoais define entre os princípios a serem observados, a boa-fé, a
finalidade, a adequação, a necessidade, a segurança, a não-discriminação, a responsabilização e a prestação
de contas na realização do tratamento.
Significa dizer que, a cada vez que for realizado o tratamento de dados pessoais do beneficiário fundamentado
no exercício regular de direito do Controlador, deverá ser realizada a ponderação acerca dos princípios
presentes na norma e os impactos do ato realizado nos direitos do Titular dos dados.
IV. Para a Portabilidade
Considerando a peculiaridade dos dados de saúde, a LGPD traz em seu texto a impossibilidade de
comunicação ou o uso compartilhado entre os Controladores de dados pessoais sensíveis referentes a saúde
com o objetivo de obter vantagem econômica.
A exceção à vedação mencionada acima aparece quando há hipóteses relativas à prestação de serviços de
saúde, de assistência farmacêutica e de assistência à saúde, incluídos os serviços auxiliares de diagnose e
terapia, em benefício dos interesses do titular dos dados.
Ainda, há permissão para realização da comunicação de dados pessoais sensíveis referentes aos titulares no
caso de portabilidade, tendo como requisito prévio a solicitação do titular dos dados.
Por fim, não se aplica a impossibilidade prevista acima em caso de transações financeiras e administrativas
resultantes do uso e da prestação de serviços de saúde.

6. A Figura do Consentimento
Considerando as hipóteses tratadas no tópico acima, ao menos neste primeiro momento, entendemos
que não haver necessidade da figura do consentimento para realizar o tratamento de dados pessoais dos

8
beneficiários, vez que tais dados, são contemplados pela Lei, como sendo aqueles referentes à saúde.
Isso porque, quando pensamos na relação contratual existente entre as Autogestões e seus beneficiários,
depreende-se por características determinantes uma relação contínua e de longa duração.
Essas relações contratuais são marcadas por seu prolongamento temporal, que supera uma mera troca
isolada ou pontual de interesses, e que inviabiliza prever todos os desdobramentos advindos do contrato.
Uma vez que a LGPD exige, quando há necessidade da realizar o tratamento de dados pessoais
fundamentado pelo consentimento, que este deverá ser específico para tanto, torna-se inviável a colheita de
um consentimento expresso acerca de cada ato contratual a ser realizado.
Durante todo o período de existência do contrato, o tratamento de dados vai se modificando, na medida
em que, por exemplo, o beneficiário solicita um determinado exame ou quando há atualização no Rol de
Procedimentos e Eventos em Saúde editado pela Agência Reguladora.

Pelos motivos anteriormente expostos, bem como por aqueles registrados na LGPD, repisa-se que
o consentimento não se faz obrigatório na relação explicitada nos parágrafos acima, todavia, poderá
eventualmente estar presente na relação contratual, como por exemplo nos programas de promoção à saúde
e prevenção de riscos e doenças, haja vista os elementos contextuais inerentes à mencionada relação.
Sendo assim, neste primeiro momento, entendemos que não há necessidade de realização de coleta de
consentimento específico tratado na Lei, junto aos beneficiários, baseando-se no conteúdo obrigacional
inerente à relação entre as partes.
Contudo, em que pese ter sido sancionada a Lei nº. 13.853, de 2019 que cria a Autoridade Nacional de
Proteção de Dados, com histórico nada fácil para tal criação, a mesma até a presente data, não foi efetivamente
constituída, ficando ressalvado, portanto, que futuramente, com a constituição da ANPD, poderão ser emitidos
novos entendimentos acerca da necessidade de coleta de consentimento dos beneficiários.
Entendemos que a Autoridade Nacional de Proteção de Dados, além de fiscalizar e punir, deve divulgar
orientações quanto à melhor interpretação e aplicabilidade de alguns dispositivos da Lei e por isso, assim que
integralmente constituída, espera-se dela ser a primeira intérprete das novas regras.
Reitera-se, com a contextualização acima, que com exceção às situações expressamente previstas em Lei,
se faz mister a obtenção de consentimento expresso, mesmo que de forma mitigada.

9
7. Exceções quanto à Aplicabilidade
A LGPD não se aplicará ao tratamento de dados pessoais quando:
• Realizado por pessoa natural para fins particulares;
• Realizado para fins jornalísticos ou artísticos ou acadêmicos;
• Realizado para fins de segurança pública, defesa nacional, segurança do Estado ou atividades
de investigação e repressão de infrações penais (que será objeto de lei específica); ou
• Provenientes de fora do território nacional e que não seja objeto de comunicação, uso compartilhado
com agentes de tratamento brasileiros ou objeto de transferência de dados com outro país que não o de
proveniência, desde que este país de proveniência proporcione grau de proteção adequado aos da lei
brasileira.

8. Responsabilidade dos Agentes de Tratamento

A LGPD prevê que o Controlador ou Operador que, em razão do exercício de atividade, causar a outrem dano
patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado
a repará-lo.
Assim, buscando assegurar a indenização ao Titular, a Lei prevê uma série de instrumentos que garantem a
indenização por eventuais violações.
De modo que elaboramos para composição deste manual a tabela a seguir, que elucida as formas de
responsabilizações dos Agentes de tratamento de Dados Pessoais.
Medidas previstas na LGPD para responsabilização dos Agentes
Os Operadores serão responsabilizados solidariamente pelos danos
causados pelo tratamento quando descumprirem as obrigações
da LGPD ou quando não seguirem as instruções do Controlador e,
nessa hipótese, o Operador se equipara ao Controlador.
Responsabilidade solidária entre Os Controladores que estiverem diretamente envolvidos no
os Agentes
tratamento, do qual decorreram danos ao Titular, respondem
solidariamente.
Ambos os casos possuem exceções, tratadas posteriormente
neste manual.
Ocorrerá quando for plausível a alegação do Titular ou quando
houver hipossuficiência ou onerosidade para fins de produção de
A inversão do ônus da prova em prova.
favor do Titular Significa dizer que as Autogestões, no âmbito das ações judiciais,
quando da inversão do ônus da prova terão que demonstrar a
inexistência de violações aos dados do Titular.
Há a possibilidade dos Titulares quando lesados, ajuizarem ações
As ações de reparação por danos coletivas buscando reparação por danos em face do Controlador ou
coletivos
Operador dos Dados Pessoais violados.

10
Fica assegurado pela LGPD o direito de regresso por aquele que reparar o dano ao titular, contra os demais
responsáveis, na medida de sua participação no evento danoso.
As exceções trazidas pela Lei, versam que os Agentes de tratamento não serão responsabilizados pelo
vazamento de dados pessoais, desde que se comprove:
I. que não realizaram o tratamento de dados pessoais que lhes é atribuído;
II. que, embora tenham realizado o tratamento de dados pessoais que lhes é
III. atribuído, não houve violação à legislação de proteção de dados; ou
IV. que o dano é decorrente de culpa exclusiva do Titular dos dados ou de terceiros.
É irregular o tratamento de dados pessoais quando se deixar de observar a LGPD ou quando não fornecer a
segurança no tratamento que o Titular pode minimamente esperar.
Para aferição da irregularidade, a Lei estabelece fatores e circunstâncias relevantes, dentre elas:
I. o modo pelo qual o tratamento é realizado;
II. Io resultado e os riscos que razoavelmente são esperados do tratamento realizado;
III. as técnicas de tratamento de dados pessoais disponíveis à época em que foi realizado.
Registre-se que, o Controlador ou o Operador que, ao deixar de adotar medidas de segurança, técnica e
administrativas aptas a proteger os dados pessoais, é responsável pelos danos decorrentes da violação
da segurança dos dados, como por exemplo, acessos não autorizados, situações acidentais ou ilícitas de
destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

9. Direitos do Titular
A Lei estabelece diversos direitos ao Titular e, é de extrema importância conhecê-los, para que as Autogestões
diminuam os riscos de sanções eventualmente fixadas pela ANPD. Destaca-se que existe no texto da Lei, a
possibilidade de o Titular peticionar junto a ANPD contra o Controlador em relação aos seus dados.
Há a possibilidade de o Titular obter junto ao Controlador, mediante requerimento expresso pessoal ou de seu
representante legal, a qualquer momento e mediante solicitação:
I. confirmação da existência de tratamento de dados;
II. acesso aos dados;
III. correção de dados incompletos, inexatos ou desatualizados;
IV. anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em
desconformidade com o disposto nesta Lei;
V. portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa,
de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e
industrial;
VI. eliminação dos dados pessoais, ressalvadas as exceções aqui tratadas.
A LGPD confere ao Titular o direito de requisitar a confirmação de existência ou o acesso a dados pessoais,
sendo que caso o requerimento seja em formato simplificado, deverá ser providenciado pelo Controlador,
imediatamente.
Noutro giro, caso o Titular exija uma declaração completa, que indique a origem dos dados, a inexistência de

11
registro, os critérios utilizados e a finalidade do tratamento, observados os segredos comercial e industrial,
esta, deverá ser fornecida no prazo de até 15 (quinze) dias, contados da data do requerimento.
Quando o tratamento tiver origem em contrato, o titular poderá solicitar cópia eletrônica integral de seus
dados pessoais, observados os segredos comercial e industrial, nos termos de regulamentação a ser definida
pela Autoridade Nacional de Proteção de Dados.
Lembrando que a defesa dos interesses e dos direitos dos titulares de dados poderá ser exercida em juízo,
individual ou coletivamente.
Por fim, a LGPD nos apresenta situações onde haverá a impossibilidade de adoção das providências
solicitadas pelo Titular. Nesse caso, cabe a Autogestão comunicar que não realiza o tratamento dos dados ou
indicar as razões de fato ou direito que impedem a adoção imediata da providência.

10. Fiscalização
Se dará pela Autoridade Nacional de Proteção de Dados Pessoais (ANPD), como órgão da administração
pública federal, integrante da Presidência da República, que dentre outras competências será responsável
por:
• Zelar pela proteção dos dados pessoais;
• Editar normas e procedimentos sobre a proteção de dados pessoais;
• Deliberar, na esfera administrativa, sobre a interpretação da Lei Geral de Proteção de Dados, suas
competências e os casos omissos;
• Requisitar informações, a qualquer momento, aos controladores e operadores de dados pessoais que
realizem operações de tratamento de dados pessoais, inclusive, relatório de impacto à proteção de dados
pessoais, quando o tratamento tiver como fundamento seu interesse legítimo, observados os segredos
comercial e industrial;
• Implementar mecanismos simplificados, inclusive por meio eletrônico, para o registro de reclamações
sobre o tratamento de dados pessoais em desconformidade com LGPD;
• Fiscalizar e aplicar sanções na hipótese de tratamento de dados realizado em descumprimento à
legislação, mediante processo administrativo que assegure o contraditório, a ampla defesa e o direito de
recurso;
• Comunicar às autoridades competentes as infrações penais das quais tiver conhecimento;
• Comunicar aos órgãos de controle interno o descumprimento do disposto na Lei praticado por órgãos e
entidades da administração pública federal;
• Estimular a adoção de padrões para serviços e produtos que facilitem o exercício de controle e proteção
dos titulares sobre seus dados pessoais, consideradas as especificidades das atividades e o porte dos
controladores;
• Promover ações de cooperação com autoridades de proteção de dados pessoais de outros países, de
natureza internacional ou transnacional;
• Realizar consultas públicas para colher sugestões sobre temas de relevante interesse público na área de
atuação da ANPD;
• Realizar, previamente à edição de resoluções, a oitiva de entidades ou órgãos da administração pública
que sejam responsáveis pela regulação de setores específicos da atividade econômica e;
• Articular-se com as autoridades reguladoras públicas para exercer suas competências em setores
específicos de atividades econômicas e governamentais sujeitas à regulação.

12
11. Sanções LGPD
A LGPD prevê a possibilidade de aplicação de diversas sanções em razão das infrações cometidas à norma,
sendo que em caso de descumprimento, ficam sujeitas as seguintes sanções:
Aplicação de advertência – com indicação de prazo para adoção de medidas corretivas.
Multa simples – de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou
conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00
(cinquenta milhões de reais) por infração.
Multa diária – observado o limite total a que se refere o item acima.
Publicização da infração – após devidamente apurada e confirmada a sua ocorrência;
Bloqueio dos dados pessoais – o bloqueio afeta os dados pessoais a que se referem a infração e surtirá
efeito até a sua regularização;
Eliminação dos dados pessoais – exclusão dos dados a que se refere a infração.
Registre-se que quaisquer das sanções aqui expostas só poderão ser aplicadas após procedimento
administrativo que possibilite a oportunidade da ampla defesa, de acordo com as peculiaridades do caso
concreto e considerados os parâmetros e critérios contidos na LGPD.

12. O Princípio da Transparência e a Política

de Privacidade
A LGPD traz a transparência como um princípio
basilar, na medida em que torna obrigatória a
demonstração ao titular dos dados sobre o que está
sendo feito com suas informações, tal como se extrai
da leitura do artigo 6º, VI da LGPD, senão, vejamos:
“VI - transparência: garantia, aos titulares, de
informações claras, precisas e facilmente acessíveis
sobre a realização do tratamento e os respectivos
agentes de tratamento, observados os segredos
comercial e industrial;”
Quando pensamos em tratamento de dados pessoais,
falar em transparência traz à tona a necessidade de
fornecer ao beneficiário acesso facilitado, para que
este, em qualquer momento, possa exercer o direito
à informação, retificação ou exclusão de seus dados.
Este último, apenas em casos onde não exista mais
qualquer base legal que legitime o tratamento pela
Instituição.

13
Dessa maneira, é de suma importância criar ou revisitar as Políticas de Privacidade das Instituições
de Autogestão, para que assim fiquem em conformidade com a norma.

A Política de Privacidade deve apresentar fácil leitura e concisão, com inclusão indispensável das seguintes
informações:
• Tipos de dados pessoais recolhidos e armazenados;
• Formas em que os dados pessoais serão utilizados (em um contexto médico, isso pode por exemplo
incluir o uso de dados para treinamento, avaliação de serviços e auditoria clínica, bem como o objetivo
principal da prestação de cuidados);
• Categorias de terceiros em potencial, com quem dados pessoais possam ser compartilhados;
• Os critérios utilizados para determinar o período de retenção de dados;
• A base jurídica para o tratamento de dados pessoais;
• Os direitos dos titulares de dados no âmbito do LGPD;
• Detalhes de contato do controlador de dados;
• Nome e dados de contato do responsável pela proteção de dados na Operadora;
• O direito de apresentar uma queixa à Operadora.
Nesse sentido, recomenda-se que a Política de Privacidade seja disponibilizada aos beneficiários, podendo
ser inserida, por exemplo:
• em eventuais comunicados enviados ao beneficiário;
• no manual do beneficiário;
• na seção dedicada a política de privacidade no site da Autogestão.

13. Relação entre Controlador e o Operador

dos dados
Considerando a relação entre o Controlador de dados e o Operador, há expressa determinação legal para que
se tenha o registro das operações de tratamento de dados pessoais que estes realizadas.
Os controladores de dados dos beneficiários devem manter registros de atividades de processamento, que
incluem por exemplo:
• o nome e detalhes de contato do controlador de dados e do responsável;
• as categorias de titulares de dados;
• as categorias de dados pessoais;
• a finalidade do processamento;
• as categorias de destinatários para quem os dados pessoais foram ou serão divulgados;
• a descrição geral das medidas de segurança técnica e organizacional, entre outros.
Antes de realizar o compartilhamento de dados pessoais de saúde, é necessário assegurar quanto à nitidez
referente ao objetivo da divulgação; a base jurídica para a tal divulgação; o direito do paciente à transparência
acerca do compartilhamento e o dever de confidencialidade do destinatário.

14
As Autogestões, por meio das figuras do Controlador e o Operador devem manter registro das
operações de tratamento de dados pessoais que realizarem, desde a sua coleta até a sua exclusão,
indicando quais tipos de dados pessoais serão coletados, a base legal que autoriza o uso, a finalidade,
o tempo de retenção, as práticas de segurança de informação implementadas no armazenamento,
e com quem os dados podem ser eventualmente compartilhados, metodologia também conhecida
como ‘data mapping4.

14. Revisão dos Contratos

Vale registrar a importância de se inserir nos instrumentos dos contratos de credenciamento, por exemplo, as
cláusulas pertinentes ao contexto do tratamento de dados pessoais e seus reflexos às partes.
É necessário definir por qual canal serão transmitidas as informações do Controlador ao Operador, quais os
limites de tratamento dos dados pelo Operador e quais das responsabilidades que podem incorrer cada uma
das partes.
O instrumento de contrato entre as Autogestões e a sua rede de prestadores, deverá ser melhor trabalhado
após a LGPD, pois até então o tratamento dos dados pessoais, não era uma preocupação pontual presente
neste documento.
É imprescindível a inclusão de cláusulas voltadas para a adequação às regras e princípios da LGPD nos novos
contratos e o aditamento dos já vigentes para que atendam a mencionada Lei.
Ainda, quando um servidor externo é usado para auxiliar as atividades de prestação de serviços de saúde, deve
haver um contrato entre Controlador e o responsável pelo servidor, que inclua a matéria e duração do tratamento,
a natureza e finalidade do processamento, o tipo de dados pessoais e categorias de titulares dos dados e
as obrigações e direitos do responsável pelo tratamento, inclusive com referência ao descarte dos dados.
Pensando nisso, todas as relações no âmbito da Saúde Suplementar serão afetadas pela Lei Geral de
Proteção de Dados Pessoais, sendo de extrema importância que sejam revisitados neste primeiro momento
os contratos entre a Operadora e seus beneficiários, entre a Operadora e o servidor responsável por
armazenamento das suas informações e, finalmente, entre a Operadora e os seus credenciados.

15. Condutas Internas para Proteção de Dados

Considerando o que dispõe a Lei Geral de Proteção de Dados Pessoais, é possível elencar uma lista de
procedimentos referentes aos dados pessoais que podem ser adotados, a fim de evitar eventuais colisões
com a Lei. Sugere-se, portanto, inicialmente, que sejam observadas as seguintes condições:
• mapeamento dos dados pessoais existentes e sua pertinência;
• limitações ao acesso a dados pessoais dos beneficiários;
• prazos rigorosos para a exclusão de dados pessoais não mais utilizados;
• formação específica orientada para os envolvidos;
• mecanismos de registro e verificação proporcionais à probabilidade e gravidade do risco para o direito do
paciente à privacidade;
• pseudonimização das informações;
• criptografia;
4.MONTEIRO, Renato L. Lei Geral de Proteção de Dados do Brasil – Análise. Disponível em https://baptistaluz.com.br/institucional/lei-geral-de-
protecao-de-dados-do-brasil-analise/. Acesso em 20/08/2018.

15
Importante ressaltar que as sugestões acima elencadas por si só não são o suficiente para proteção
absoluta dos dados, porém, são pontos que devem ser pensados inicialmente no âmbito da
Autogestão para que seja garantida maior segurança ao tratar dados.

16. Crianças e Adolescentes

O tratamento de dados pessoais de crianças e adolescentes também merece especial atenção e deverá ser
realizado da seguinte maneira:
• com o consentimento específico e em destaque dado por pelo menos um dos pais ou responsável legal.
• dispensa do consentimento de um dos pais ou responsável: quando o tratamento dos dados for
necessário para contatá-los, sendo esses dados, utilizados uma única vez e sem armazenamento, ou
para sua proteção, e em nenhum caso poderão ser repassados a terceiro sem o consentimento de pelo
menos um dos pais ou responsável.
Dessa maneira, de extrema valia que as Autogestões passem, desde já a revisar seus termos de consentimento
voltado aos dependentes para que se tornem adequados a norma.
Importante esclarecer que, lê-se como dados, todo material que traz com ele informações sobre o titular,
incluindo aqueles documentos não eletrônicos, ainda em formato físico, sendo o momento oportuno para
respectiva digitalização, observados os requisitos legais de validade, adequando-os, dessa maneira, às
normas vigentes de segurança.

17. Compartilhamento e Transferência de Dados

via E-mail
Para o exercício regular de suas atividades, as Instituições de Autogestão enquanto Operadoras de Planos de
Saúde, compartilham muitas informações com outros setores através da troca de e-mails.
Como em qualquer processamento de dados, em relação ao risco para a privacidade do Beneficiário, devem
ser observadas as medidas técnicas e organizacionais adequadas.
Observa-se que, apesar da previsão legal para que sejam adotadas medidas técnicas e organizacionais
adequadas, a própria LGPD não define quais serão os padrões mínimos exigidos para que uma Instituição
esteja regular perante a Autoridade5.
Isso porque, eventualmente podem ocorrer envios de e-mail para destinatários diversos daqueles pretendidos,
sendo que, uma vez que o conteúdo do e-mail tenha dados pessoais, será caracterizada violação de dados, e,
portanto, vale a pena minimizar o risco desse tipo de ação com medidas eficazes levando em consideração
as singularidades de cada Autogestão.
Ante o exposto, recomenda-se que as Autogestões realizem a criptografia e proteção com senha dos
anexos de e-mail e envio da senha separadamente, preferencialmente através de um canal de comunicação
diferenciado e específico para tal.

5 A título de curiosidade, considerando as experiências em proteção de dados no âmbito internacional, a tendência é da especialização dos
serviços de e-mail. Há países que contam com serviços exclusivos e personalizados para profissionais da área da saúde, visando garantir a
segurança das informações trocadas entre os agentes do meio. (acerca disso, ver: https://healthmail.ie/index.cfm )

16
18. Término do Tratamento de Dados
Considerando a importância de se delimitar até qual momento há amparo legal para o tratamento de dados
pessoais por parte das Autogestões, da leitura da LGPD facilmente chegamos à conclusão de que houve
pouca atenção do legislador no que concerne ao tema.
A LGPD traz um rol exemplificativo de situações onde se finda a autorização legal para o tratamento de dado
pelo Controlador.
No âmbito das Autogestões, pertinente citar as seguintes:
• verificação de que a finalidade foi alcançada ou de que os dados deixaram de ser necessários ou
pertinentes ao alcance da finalidade específica almejada, observado eventual prazo prescricional das
obrigações pertinentes à Autogestão;
• fim do período de tratamento;
• determinação da autoridade nacional, quando houver violação ao disposto na Lei.
Vale ser feita a ressalva de que os dados poderão ser conservados para fins de cumprimento de obrigação

legal ou regulatória pelo Controlador. Pensando no cenário da saúde suplementar, deverão ser observadas
as hipóteses legais que determinam o período mínimo de guarda de documentos, e, ante a necessidade de
maior exploração do tema, será tratado mais à frente em um tópico específico.
Para fins da Lei, a eliminação de dados deverá ser feita de modo a ser impossível sua restauração ao estado
anterior, não cabendo nesses casos a anonimização ou pseudonimização.

17
19. Períodos para Guarda dos Documentos
Na hipótese do tratamento de dados é feito fundamentado no consentimento do
Titular e/ou para cumprimento de obrigação legal ou regulatória, sendo que para
este último, tal como é o caso das Autogestões, é necessário se atentar aos prazos máximos para guarda de
documentos dos beneficiários.
Quando pensamos na necessidade de guarda da documentação, é fundamental ter em mente que os
regimes estabelecidos envolvem uma questão prescricional e/ou decadencial, devendo, portanto, considerar-
se o período em que o Beneficiário possui para pleitear em juízo as relações inerentes ao contrato.
A título exemplificativo, vez que os períodos a seguir mencionados não contemplam todas as
hipóteses de prazos para guarda de documentação, tem-se que o prazo prescricional relacionado à
discussão de responsabilidades das Autogestões em virtude dos contratos por elas firmados, consoante
jurisprudência pacífica do STJ, é de 10 (dez) anos6.
Ainda, vale dizer que existem alguns documentos que por força de legislação específica possuem prazo
diferenciado para armazenamento, como é o caso dos prontuários médicos, que possuem o prazo para
guarda de 20 (vinte) anos contados do último registro realizado7.
É de suma importância o entendimento que se extrai do Código Civil prevê que ocorrerá a prescrição da
pretensão de reparações na esfera civil no prazo de 3(três) anos 8.
Sendo assim, deverá ser avaliado caso a caso, a necessidade de tratamento daquele dado e qual o prazo
obrigacional para guarda dos documentos pertinentes.

20. Ensaio sobre Roteiro de Adequação das Autogestões

à LGPD
O processo de iniciação acaba se tornando o momento mais difícil, uma vez que a aplicação da norma
à realidade cotidiana das Autogestões deverá ser feita em múltiplos aspectos. Diversos setores deverão
trabalhar conjuntamente para que se tenha resultados efetivos, trata-se, de fato, de uma mudança de cultura.
Dessa forma, para que as Autogestões possam iniciar os procedimentos visando a adequação à LGPD,
tomamos o cuidado de trazer neste material alguns passos
que consideramos importantes a serem seguidos e que merecem atenção na hora de buscar a adequação
à Lei em consonância com início de sua vigência.
Considerando que há um período até o início de eficácia da Lei, poderão ocorrer novas mudanças, ainda
com a constituição da Autoridade Nacional de Proteção de Dados, novos requisitos e passos poderão vir a
ser necessários.
Por fim, vale dizer que esses passos por si só não são suficientes para tornar as Autogestões totalmente
adaptadas à norma, uma vez que cada uma delas possuem peculiaridades que devem ser tratadas
individualmente conforme suas necessidades.

6 EResp nº. 1.280.825

7 Art. 6º, Lei nº. 13.787.
8 Art. 206, §3º, V

18
Quais os primeiros passos
Atenção ao prazo limite
para adequação
Mapeamento do fluxo de
Dados Pessoais
Política de Privacidade
Avaliação quanto à transição
Minimizar quanto à exposição
de riscos
Encarregado pelo Tratamento
(EPD)
Proteção preventiva
Incentivar a adoção de boas
práticas e a mudança na
cultura interna
Organizar uma política de
tratamento dos incidentes
Documentar as análises e
procedimentos
O que devo fazer?
O prazo para adequação até o dia16 de agosto de 2020.
Essa etapa envolve a definição de uma nova governança junto a
TI levando em consideração os controles de consentimento, os
ciclos de vida do dado pessoal, sua coleta, uso, compartilhamento,
enriquecimento, armazenamento, com ou sem uso de nuvem,
eliminação e portabilidade.
A LGPD alcança todos os setores da economia. Dessa maneira, toda
empresa que tiver negócios no Brasil deve se adequar a ela, incluídas,
portanto, as Autogestões independentemente de características
particulares, deverá revisar e atualizar sua política de privacidade.
É necessário realizar o levantamento de situações que necessitem ser
corrigidas pela Instituição de Autogestão para a garantir que a LGPD
seja cumprida em todos os seus departamentos.
Nesta fase a Autogestão efetivamente precisará executar os
procedimentos e comandos contidos na LGPD, seja no âmbito
administrativo, técnico (TI) ou relacionado à segurança propriamente
dita. É o momento em que as medidas protetivas acerca da base de
dados da Autogestão são efetivadas, com intuito de neutralizar as
vulnerabilidades.
As Entidades de Autogestão deverão ter um encarregado pelo
tratamento de dados pessoais, que será responsável por reclamações
e comunicações dos titulares, prestar esclarecimentos e adotar
providências, receber comunicações da autoridade nacional e adotar
providências, orientar os funcionários e os contratados da entidade
a respeito das práticas a serem tomadas em relação à proteção de
dados pessoais e executar as demais atribuições determinadas pelo
controlador ou estabelecidas em normas complementares.
Significa a realização de condutas de proteção dos dados desde a
concepção do produto (contrato, por exemplo), sendo incorporada
diretamente às estruturas tecnológicas, ao modelo de negócio e à
infraestrutura física da Autogestão. Envolve ainda a atualização das
cláusulas contratuais, Estatuto e Regulamentos à luz da LGPD.
Poderão ser ofertados cursos aos colaboradores, treinamentos
periódicos e outros meios para efetivar a mudança de cultura dentro do
ambiente de trabalho da Instituição.
Visa garantir o cumprimento de requisitos de comunicação às
autoridades em caso de vazamentos ou uso indevido de dados
pessoais.
Tem por objetivo implementar o Registro de Processamento de Dados
Pessoais dentro da Instituição.
19
21. Pontos Finais que Merecem Destaque
• Subcontratantes: as normas contidas na LGPD
estendem-se também aos subcontratantes de
uma empresa, como fornecedores, prestadores
e parceiros de tecnologia. Estão todos esses
sujeitos às obrigações descritas na Lei.
• Havendo consentimento quando do tratamento
dos dados, o Controlador deve manter sob sua
guarda, documentação comprobatória da sua
obtenção em conformidade com a lei.
• Os titulares têm direito ao acesso facilitado às
informações sobre o tratamento de seus dados,
disponibilizadas de forma clara, adequada e
ostensiva, principalmente no que se refere à
finalidade, forma e duração do tratamento, além
da menção explícita aos direitos do titular. Ainda
nesse sentido, uma inovação da lei é o direito
dado ao titular de obter seus dados pessoais
através de um arquivo interoperável (aquele
manipulável em qualquer base de sistema), além
de poder solicitar a portabilidade, que constitui
a transferência dos dados para outra empresa/
entidade.
• Os titulares dos respectivos dados podem retificar, cancelar ou até solicitar a exclusão desses dados
mediante manifestação expressa, ressalvadas as hipóteses legais que afastam o tratamento dos dados
por meio do consentimento.
• O tratamento dos dados, via de regra, não pode ocorrer por tempo indeterminado, devendo cessar
quando alcançada a finalidade ou quando os dados deixarem de ser necessários ou pertinentes; ao fim
do período de tratamento; mediante comunicação do titular; ou por determinação da autoridade nacional.
Os dados devem ser eliminados após o término do tratamento, salvo exceções específicas.
• Partindo da máxima de que o jurídico não pode ser visto como frente de prevenção, mas sim de
reação e, ainda, levando em consideração o mapeamento realizado previamente nos departamentos,
é importante que a Autogestão viabilize os esforços necessários para aplicação prática da matéria aqui
abordada.
• Por fim, é de vital importância cumprir e se fazer cumprir as normas legais e regulamentares, as políticas
e as diretrizes estabelecidas para o negócio e atividades de cada entidade.

A presente cartilha visa despertar a atenção das Autogestões para a importância do tema, não de
forma exaustiva, a fim de que elas iniciem, caso não tenham feito, seu processo de adequação,
considerando suas necessidades e especificidades, com a atenção que a matéria requer.

20
22. Bibliografia
BIONI, Bruno Ricardo. Proteção de dados pessoais: a função e os limites do consentimento. Rio de Janeiro:
Forense, 2019.
BRASIL. Constituição. Constituição da República Federativa do Brasil. Brasília, DF: Senado Federal, 1988.
BRASIL, República Federativa do, Lei 13.708 de 14 de agosto de 2018;
COTS, Márcio; OLIVEIRA, Ricardo. Lei Geral de Proteção de Dados Comentada. Brasil: Revista dos Tribunais,
2018.
DONEDA, Danilo. A proteção de dados pessoais nas relações de consumo: para além da informação creditícia.
Brasília: Escola Nacional de Defesa do Consumidor, 2010.
______. Da privacidade à proteção de dados pessoais. Disponível em <http://egov.ufsc.br/portal/sites/
default/files/anexos/29536-29552-1-PB.pdf>. Acesso em 19 jul. 2018.
______; MENDES, Laura Schertel. Marco Jurídico para Cidadania Digital: uma análise do Projeto de Lei
5.276/2016. São Paulo, Revista de Direito Civil Contemporâneo, v. 9, out. - dez. 2016.
DUQUE, Jony. LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS: SUA APLICAÇÃO NAS RELAÇÕES DE
CONSUMO E A QUESTÃO DO COMPARTILHAMENTO DE DADOS, Monografia apresentada à Escola Paulista
da Magistratura, como exigência parcial para aprovação no Curso de Pós-Graduação ‘Lato Sensu’, 2018.
GRANVILLE, Kevin. Facebook and Cambridge Analytica: What You Need to Know as Fallout Widdens. The New
York Times, Nova York, 19 mar. 2018. Disponível em: <https://www.nytimes.com/2018/03/19/technology/
facebook-cambridge-analytica-explained.html>. Acesso em 14 jul. 2018.
GRINGS, Maria Gabriela. Privacidade e interesse público no Brasil e na Inglaterra. Revista de Processo
Comparado, 4:129-157, jul. – dez. 2016.
MENDES, Laura Schertel. A vulnerabilidade do consumidor quanto ao tratamento de dados pessoais. Revista
de Direito do Consumidor, vol. 102, p. 19-43, nov. a dez. 2015.
______. O diálogo entre o Marco Civil da Internet e o Código de Defesa do Consumidor. Revista de Direito do
Consumidor, vol. 106, São Paulo, jul. – ago. 2016.
______. Privacidade, proteção de dados e defesa do consumidor: linhas gerais de um novo direito
fundamental. São Paulo: Saraiva, 2014.
______. Transparência e privacidade: violação e proteção da informação pessoal na sociedade de consumo.
2008. Dissertação (Direito) – Universidade de Brasília, Brasília, DF, 2008.
SILVA, José Afonso da. Curso de Direito Constitucional Positivo, 37ª ed. São Paulo: Malheiros, 2013.
UNIÃO EUROPEIA. Regulamento 2016/679. Publicado no Official Journal of the European
Union em 4 de maio. 2016. Disponível em <https://eur-lex.europa.eu/legal-content/EB/TXT/
HTML/?uri=CELEX:32016R0679&from=PT> Acesso em 26 mar. 2019.
WARREN e BRANDEIS, The Right to Privacy, in: Harvard Law Review, Vol IV, Dezembro, 15, 1890.

21
Anotações
_____________________________________________________________
_____________________________________________________________
_____________________________________________________________
_____________________________________________________________
_____________________________________________________________
_____________________________________________________________
_____________________________________________________________
_____________________________________________________________
_____________________________________________________________
_____________________________________________________________
_____________________________________________________________
_____________________________________________________________
_____________________________________________________________
_____________________________________________________________
_____________________________________________________________
_____________________________________________________________
_____________________________________________________________
_____________________________________________________________
_____________________________________________________________
_____________________________________________________________
_____________________________________________________________
_____________________________________________________________
_____________________________________________________________
_____________________________________________________________
_____________________________________________________________
_____________________________________________________________
_____________________________________________________________
_____________________________________________________________
_____________________________________________________________

22
Anotações
_____________________________________________________________
_____________________________________________________________
_____________________________________________________________
_____________________________________________________________
_____________________________________________________________
_____________________________________________________________
_____________________________________________________________
_____________________________________________________________
_____________________________________________________________
_____________________________________________________________
_____________________________________________________________
_____________________________________________________________
_____________________________________________________________
_____________________________________________________________
_____________________________________________________________
_____________________________________________________________
_____________________________________________________________
_____________________________________________________________
_____________________________________________________________
_____________________________________________________________
_____________________________________________________________
_____________________________________________________________
_____________________________________________________________
_____________________________________________________________
_____________________________________________________________
_____________________________________________________________
_____________________________________________________________
_____________________________________________________________
_____________________________________________________________

23