PROVA DA OAB

LEI GERAL DE PROTEÇÃO

DE DADOS

www.oabnamedida.com.br

LEI N. 13.709/2018
Peparamos um e-book especial, com
os principais temas da Lei Geral de
Proteção de Dados que podem ser
cobrados nos próximos Exames da
OAB.
 LEI GERAL DE
PROTEÇÃO DE

A Lei nº. 13.709/2018, que entrou em vigor em agosto de 2020, pode ser cobrada a
partir do XXXII Exame da OAB, tendo sido inclusive citada expressamente no edital
de abertura do Exame, o que aumenta as chances de o tema realmente ser cobrado
na prova.
Então vamos analisar juntos alguns aspectos dessa lei tão importante.

Considerações Gerais

A LGPD foi inspirada na lei de proteção de dados da União Europeia (GPDR),

e o seu objetivo é a proteção de dados das pessoas físicas, coletados pela
internet ou fora dela. A lei, portanto, não protege os dados das pessoas
jurídicas e não se restringe ao meio digital.
Entretanto, apesar de não se restringir ao meio digital, é na internet que os
usuários estão mais sujeitos a terem seus dados indevidamente utilizados e
compartilhados, por isso a importância da LGPD.
Vejamos agora alguns pontos importantes trazidos pela Lei:
- Objeto de Proteção da Lei: a LGPD se preocupa com a proteção do “tratamento
dos dados” pessoais, considerados todos os dados capazes de identificar uma
pessoa, tanto na forma direta quanto na forma indireta.
- Tratamento de dados: “toda operação realizada com dados pessoais, como as
que se referem a coleta, produção, recepção, classificação, utilização, acesso,
reprodução, transmissão, distribuição, processamento, arquivamento,
armazenamento, eliminação, avaliação ou controle da informação, modificação,
comunicação, transferência, difusão ou extração”.
- Titular do direito: a lei protege apenas as pessoas físicas. Dados fornecidos pelas
empresas não são protegidos pela lei!
Exemplo: A empresa XYZ Ltda procura uma agência de marketing e fornece
diversos dados empresariais na contratação dos serviços. Nesse caso, os dados
fornecidos pela XYZ Ltda não são protegidos pela LGPD.

- Quem pode ser responsabilizado pela LGPD: pessoas jurídicas de direito público
ou privado e as pessoas físicas, com finalidade econômica, que fizerem tratamento
dos dados pessoais (coleta, armazenamento, utilização etc.). Preste atenção: pessoa
física, sem finalidade econômica, não pode ser responsabilizada pela LGPD!

Exemplo: João pretende fazer uma festa para comemorar o seu aniversário. Para
tanto, coleta dados pessoais de dezenas de pessoas, para informá-las sobre o local
e a data do evento. Nesse caso, por ser pessoa física e não ter finalidade econômica,
João NÃO poderá ser responsabilizado pela LGPD, caso esses dados não sejam
devidamente protegidos.

- Situações em que não se aplica a LGPD: quando o tratamento de dados for:

I) realizado por pessoa natural para fins exclusivamente particulares e não
econômicos;
II) realizado para fins exclusivamente: a) jornalístico e artísticos; ou b) acadêmicos,
aplicando-se a esta hipótese os arts. 7º e 11 da Lei (deve-se garantir, sempre que
possível, a anonimização dos dados pessoais sensíveis);

Exemplo: emissora de televisão que coletou dados pessoais para fazer uma
reportagem ou para a realização de um programa artístico.

III) realizado para fins exclusivos de: a) segurança pública; b) defesa nacional; c)
segurança do Estado; ou d) atividades de investigação e repressão de infrações
penais; ou

Exemplo: dados pessoais coletados para subsidiar uma investigação sobre tráfico
de drogas.

IV) provenientes de fora do território nacional e que não sejam objeto de

comunicação, uso compartilhado de dados com agentes de tratamento
brasileiros ou objeto de transferência internacional de dados com outro país que
não o de proveniência, desde que o país de proveniência proporcione grau de
proteção de dados pessoais adequado ao previsto nesta Lei.
Exemplo: empresa estrangeira que coletou dados pessoais no seu site, mas não
realizou compartilhamento dos dados com agentes de tratamento no Brasil.

- Principais responsáveis pelos dados pessoais:

Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem
competem as decisões referentes ao tratamento de dados pessoais.

Exemplo: empresa que coleta diretamente dados dos seus clientes por meio de
formulários eletrônicos ou em papel.

Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o

tratamento de dados pessoais em nome do controlador.

Exemplo: Empresa de marketing contratada para fazer propaganda na internet para

os clientes da empresa controladora.

- Dados sensíveis: são dados que exigem uma proteção especial, porque, se
utilizados indevidamente, podem levar o titular dos dados sofrer discriminação.
De acordo com a lei, dado sensível é informação pessoal “sobre origem racial ou
étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de
caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual,
dado genético ou biométrico, quando vinculado a uma pessoa natural”.
- Dados anonimizados (art. 12): os dados anonimizados não serão considerados
dados pessoais, salvo quando o processo de anonimização ao qual foram
submetidos for revertido, utilizando exclusivamente meios próprios, ou quando,
com esforços razoáveis, puder ser revertido.
A determinação do que seja razoável deve levar em consideração fatores objetivos,
tais como custo e tempo necessários para reverter o processo de anonimização, de
acordo com as tecnologias disponíveis, e a utilização exclusiva de meios próprios.

Exemplo: os dados criptografados pelo WhatsApp, por exemplo, são resguardados

com tecnologia de ponta, por isso não são considerados dados pessoais para a
LGPD.
Entretanto, se os dados criptografados puderem ser revertidos sem muito esforço,
aí serão considerados dados pessoais.
- Estudos em saúde pública (Art. 13): na realização de estudos em saúde pública,
os órgãos de pesquisa poderão ter acesso a bases de dados pessoais, que serão
tratados exclusivamente dentro do órgão e estritamente para a finalidade de
realização de estudos e pesquisas e mantidos em ambiente controlado e seguro,
incluindo, sempre que possível, a anonimização ou pseudonimização dos dados,
bem como considerem os devidos padrões éticos relacionados a estudos e
pesquisas.
A divulgação dos resultados ou de qualquer excerto do estudo ou da pesquisa em
nenhuma hipótese poderá revelar dados pessoais.
Além disso, não é permitida, em circunstância alguma, a transferência dos dados a
terceiro.

Exemplo: imagine um órgão de pesquisa que está realizando estudo e testes de

vacina contra a COVID na população brasileira.
O órgão poderá armazenar os dados pessoais das pessoas testadas, devendo,
sempre que possível, utilizar a anonimização ou pseudonimização dos dados. Em
nenhuma hipótese o órgão poderá revelar dados pessoais das pessoas que se
submeteram aos testes, nem divulgar os dados a terceiros.

- Dados pessoais de criança e adolescente (art. 14): o tratamento de dados de

criança e adolescente precisa do consentimento de um dos pais ou do responsável
legal, salvo para contatar os pais ou o responsável legal, utilizados uma única vez e
sem armazenamento, ou para sua proteção, e em nenhum caso poderão ser
repassados a terceiro sem o consentimento por um dos pais ou responsável legal.

Exemplo: Ana, com 10 anos de idade, se perde em um parque de diversão.

Nesse caso, o parque poderá pegar os dados da criança para entrar em contato
com o responsável legal, mas os dados fornecidos pela criança poderão ser
utilizados apenas para essa finalidade e não poderão ser armazenados pela
empresa.

- Requisito para tratamento de dados pessoais: necessidade de concordância da

pessoa titular dos dados, devendo a finalidade de coleta de dados ser expressa.
O consentimento deve ser dado por escrito ou por outro meio que demonstre a
manifestação de vontade do titular.
Exceções: principais situações que dispensam o consentimento:
a) Para o cumprimento de obrigação legal ou regulatória pelo controlador;
b) Pela administração pública, para o tratamento e uso compartilhado de dados
necessários à execução de políticas públicas previstas em leis;
c) Para a realização de estudos por órgão de pesquisa;
d) Quando necessário para a execução de contrato ou de procedimentos preliminares
relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
e) Para o exercício regular de direitos em processo judicial, administrativo ou arbitral
f) Para a proteção da vida ou da incolumidade física do titular ou de terceiro;
g) Para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais
de saúde, serviços de saúde ou autoridade sanitária.
h) Para a proteção do crédito.

- Direitos do Titular (art. 18): quem forneceu os dados pessoais tem o direito de ter
confirmação da existência do tratamento, acesso, correção, portabilidade,
eliminação dos dados utilizados sem consentimento, além da revogação do
consentimento. O titular tem o direito de saber qual a finalidade específica do
tratamento, a forma e duração, o contato do controlador, se há uso compartilhado
e quais as responsabilidades dos agentes que realizam o tratamento.
- Revogação do consentimento (art. 8º § 5º): o consentimento pode ser revogado
a qualquer momento mediante manifestação expressa do titular, por procedimento
gratuito e facilitado, ratificados os tratamentos realizados sob amparo do
consentimento anteriormente manifestado enquanto não houver requerimento de
eliminação.
- Transferência internacional de dados (art. 33): a transferência somente pode
ocorrer para países que proporcionem proteção dos dados conforme previsto na
LGPD ou em nas situações específicas previstas no próprio artigo.
- Tratamento de dados pessoais pelo Poder Público (art. 23): o tratamento de dados
pessoais pelas pessoas jurídicas de direito público deverá ser realizado para o
atendimento de sua finalidade pública, devendo fornecer informações claras e
atualizadas sobre a previsão legal, a finalidade, os procedimentos e as práticas
utilizadas para a execução do tratamento de dados, em veículos de fácil acesso,
preferencialmente em seus sítios eletrônicos.
 Regras importantes

a) Os serviços notariais e de registro exercidos em caráter privado, por delegação

do Poder Público, terão o mesmo tratamento dispensado às pessoas jurídicas
de Direito Público, devendo fornecer acesso aos dados por meio eletrônico para
a administração pública, na persecução do interesse público.
b) Empresas públicas e as sociedades de economia mista que atuam em regime
de concorrência (atividade econômica), terão o mesmo tratamento dispensado
às pessoas jurídicas de direito privado particulares, nos termos desta Lei.
c) As empresas públicas e as sociedades de economia mista, quando estiverem
operacionalizando políticas públicas e no âmbito da execução delas, terão o
mesmo tratamento dispensado aos órgãos e às entidades do Poder Público.

Acima tratamos, de forma resumida, dos principais pontos da LGPD que podem ser
cobrados nas próximas provas da OAB.
Para testar o seu conhecimento sobre esse assunto e outras leis recentes que podem
ser cobradas nos próximos Exames, você poderá responder ao quiz disponível
gratuitamente no nosso aplicativo, no ícone “alterações importantes”.
Bons estudos.