LEI GERAL DE PROTEÇÃO DE DADOS E A ADMINISTRAÇÃO PÚBLICA

CAPÍTULO 1 - INTRODUÇÃO
A proteção de dados pessoais tem ganhado cada vez mais importância na atual
sociedade da informação, tendo em vista a coleta indiscriminada de dados e o
permanente monitoramento das pessoas para atender às crescentes exigências de
segurança interna e externa, interesses de mercado e reorganização da gestão pública.
Frequentemente, vemos nossos dados sendo coletados por organizações para o
direcionamento de campanhas de publicidade ou até mesmo para decisões como
concessão de crédito ou para a concessão de direitos contemplados por políticas
públicas.
Nas palavras de Gustavo Tepedino, “a cada dia, uma infinidade de dados é extraída, de
forma incalculável, por agentes econômicos. A utilização de cartões de crédito,
andróides, tablets, computadores e redes sociais fornecem, voluntária ou
involuntariamente, nossos dados pessoais a destinatários anônimos, públicos e
privados, sem que possamos controlar a finalidade de sua utilização. Dados genéticos,
preferências culturais, estéticas e de consumo, orientações política, religiosa, sexual,
tudo é coletado em tempo real. Tais informações dizem respeito à privacidade,
intimidade, honra, integridade psicofísica e identidade pessoal; direitos da
personalidade cuja gestão deve ser atribuída ao próprio titular. O Direito Civil ocupa-se,
assim, com aspectos preventivos, tutelando a autonomia dos interessados para decidir
quanto à disponibilidade desses dados; e com aspectos de sua patologia, no âmbito da
responsabilidade civil e de medidas reparatórias. (TEPEDINO, Gustavo. As tecnologias e
a renovação do Direito Civil).

Estas questões ganham ainda mais complexidade com o surgimento da inteligência

artificial, que trouxe numerosos desafios para o Direito, notadamente no que tange à
identificação dos responsáveis pelos atos praticados por robôs, à imputação do dever
de indenizar. Ademais, conforme destaca o autor, “ao contrário do que ocorre nas
relações intersubjetivas, no caso da inteligência artificial há uma aparente
neutralidade da máquina, que dificulta a identificação da fonte da lesão a direitos
humanos, tornando ainda mais complexa a intervenção equalizadora”.

Desta forma, a proteção de dados deve ser vista como aspecto essencial da tutela da
dignidade da pessoa humana, uma vez que devem ser evitadas discriminações que
não encontrem fundamento constitucional e afastadas práticas que possam reduzir a
liberdade e a autonomia dos indivíduos, a exemplo de decisões que sejam tomadas a
partir da análise de dados não informada ao seu titular ou à luz de critérios não
transparentes.

Contudo, até 2018, o ordenamento jurídico brasileiro não dispunha de uma lei
específica para a proteção de dados pessoais, sendo que sua tutela amparava-se em
dispositivos da Constituição da República (art. 5º, X e XIII, que contemplam a
inviolabilidade da intimidade e da vida privada e o sigilo de dados), do Código Civil
(com o direito fundamental à privacidade previsto no art. 21) e em outras leis esparsas
como o CDC (Código de Defesa do Consumidor), o Marco Civil da Internet, a Lei de
Acesso à Informação e a Lei do Cadastro Positivo. Neste sentido, mesmo antes da
LGPD, um importante Enunciado chegou a ser aprovado pela II Jornada de Direito Civil
do Conselho da Justiça Federal (CJF), sob coordenação do professor Gustavo Tepedino:

Enunciado 404, CJF: A tutela da privacidade da pessoa humana compreende os

controles espacial, contextual e temporal dos próprios dados, sendo necessário
seu expresso consentimento para tratamento de informações que versem
especialmente o estado de saúde, a condição sexual, a origem racial ou étnica,
as convicções religiosas, filosóficas e políticas.

Todavia, de acordo com Gustavo Tepedino, “esse arcabouço regulatório não

solucionava muitas questões relativas à proteção de dados, ensejando dúvidas no
regime jurídico aplicável, tornando o Brasil menos competitivo no contexto de uma
sociedade cada vez mais movida a dados” (GUSTAVO TEPEDINO. Consentimento e
Proteção de dados pessoais na LGPD).
Por isto, a aprovação da Lei Geral de Proteção de Dados Pessoais (L13709 de 2018,
vulgarmente conhecida como “LGPD”) foi extremamente importante, haja vista que o
ordenamento jurídico brasileiro passou a contar com uma disciplina própria voltada à
regulamentação da proteção de dados pessoais. Nesse contexto, de acordo com a
professora Milena Donato, “a LGPD sedimentou um novo paradigma na proteção de
dados: estes não são considerados de titularidade de quem os coleta, e sim da pessoa
natural aos quais se referem”. Assim, aquele que coleta e trata dados, por lidar com
bens alheios, passa a ter o dever fundamental de prestar contas: como e quais dados
são coletados, como são tratados, armazenados etc.
E como isso se reflete na Administração Pública?
A LGPD previu sua ampla incidência em todas as operações de tratamento de dados,
seja ela realizada por pessoas de direito público ou privado.

Art. 3º Esta Lei aplica-se a qualquer operação de tratamento realizada por pessoa
natural ou por pessoa jurídica de direito público ou privado, independentemente do
meio, do país de sua sede ou do país onde estejam localizados os dados, desde que:

I - a operação de tratamento seja realizada no território nacional;

II - a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou
serviços ou o tratamento de dados de indivíduos localizados no território nacional; ou
(Redação dada pela Lei nº 13.853, de 2019) Vigência
III - os dados pessoais objeto do tratamento tenham sido coletados no território
nacional.

§ 1º Consideram-se coletados no território nacional os dados pessoais cujo titular nele

se encontre no momento da coleta.

Por isto, conforme iremos demonstrar ao longo do material, a LGPD possui um amplo
espectro de incidência sobre a Administração Pública, inclusive sobre empresas
estatais, que possuem um dispositivo próprio na lei. Ademais, a aplicação da LGPD não
deve ser dissociada da Lei de Acesso à Informação, que também possui alguns
dispositivos próprios relativos à publicidade e transparência de dados na
Administração Pública.
Antes de aprofundarmos o tema, contudo, é necessário conhecer alguns conceitos
básicos trazidos pela lei. Vejamos.

CAPÍTULO 2 – CONCEITOS BÁSICOS

A LGPD traz em seu art. 5º os conceitos essenciais para a sua aplicação no
ordenamento jurídico brasileiro. O dispositivo é dividido em dezenove incisos que
apresentam as definições básicas a serem consideradas no âmbito da proteção dos
dados pessoais:
Art. 5º Para os fins desta Lei, considera-se:
I - dado pessoal: informação relacionada a pessoa natural identificada ou
identificável;
II - dado pessoal sensível: dado pessoal sobre origem racial ou étnica,
convicção religiosa, opinião política, filiação a sindicato ou a organização de
caráter religioso, filosófico ou político, dado referente à saúde ou à vida
sexual, dado genético ou biométrico, quando vinculado a uma pessoa
natural;
III - dado anonimizado: dado relativo a titular que não possa ser
identificado, considerando a utilização de meios técnicos razoáveis e
disponíveis na ocasião de seu tratamento;
IV - banco de dados: conjunto estruturado de dados pessoais, estabelecido
em um ou em vários locais, em suporte eletrônico ou físico;
V - titular: pessoa natural a quem se referem os dados pessoais que são
objeto de tratamento;
VI - controlador: pessoa natural ou jurídica, de direito público ou privado, a
quem competem as decisões referentes ao tratamento de dados pessoais;
VII - operador: pessoa natural ou jurídica, de direito público ou privado, que
realiza o tratamento de dados pessoais em nome do controlador;
VIII - encarregado: pessoa indicada pelo controlador e operador para atuar
como canal de comunicação entre o controlador, os titulares dos dados e a
Autoridade Nacional de Proteção de Dados (ANPD); (Redação dada pela Lei
nº 13.853, de 2019) Vigência
IX - agentes de tratamento: o controlador e o operador;
X - tratamento: toda operação realizada com dados pessoais, como as que
se referem a coleta, produção, recepção, classificação, utilização, acesso,
reprodução, transmissão, distribuição, processamento, arquivamento,
armazenamento, eliminação, avaliação ou controle da informação,
modificação, comunicação, transferência, difusão ou extração;
XI - anonimização: utilização de meios técnicos razoáveis e disponíveis no
momento do tratamento, por meio dos quais um dado perde a possibilidade
de associação, direta ou indireta, a um indivíduo;
XII - consentimento: manifestação livre, informada e inequívoca pela qual o
titular concorda com o tratamento de seus dados pessoais para uma
finalidade determinada;
XIII - bloqueio: suspensão temporária de qualquer operação de tratamento,
mediante guarda do dado pessoal ou do banco de dados;
XIV - eliminação: exclusão de dado ou de conjunto de dados armazenados
em banco de dados, independentemente do procedimento empregado;
XV - transferência internacional de dados: transferência de dados pessoais
para país estrangeiro ou organismo internacional do qual o país seja
membro;
XVI - uso compartilhado de dados: comunicação, difusão, transferência
internacional, interconexão de dados pessoais ou tratamento compartilhado
de bancos de dados pessoais por órgãos e entidades públicos no
 cumprimento de suas competências legais, ou entre esses e entes privados,
reciprocamente, com autorização específica, para uma ou mais modalidades
de tratamento permitidas por esses entes públicos, ou entre entes privados;
XVII - relatório de impacto à proteção de dados pessoais: documentação do
controlador que contém a descrição dos processos de tratamento de dados
pessoais que podem gerar riscos às liberdades civis e aos direitos
fundamentais, bem como medidas, salvaguardas e mecanismos de
mitigação de risco;
XVIII - órgão de pesquisa: órgão ou entidade da administração pública
direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos
legalmente constituída sob as leis brasileiras, com sede e foro no País, que
inclua em sua missão institucional ou em seu objetivo social ou estatutário a
pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou
estatístico; e (Redação dada pela Lei nº 13.853, de 2019) Vigência
XIX - autoridade nacional: órgão da administração pública responsável por
zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território
nacional. (Redação dada pela Lei nº 13.853, de 2019) Vigência

O primeiro apontamento importante a respeito dos conceitos do art. 5º da LGPD

refere-se à diferenciação entre dados pessoais, dados pessoais sensíveis e dados
anonimizados.

De acordo com o inciso I do art. 5º, considera-se dado pessoal a informação

relacionada a pessoa natural identificada ou identificável. A partir desta conceituação,
é possível verificar que estão inseridos nesta categoria todo e qualquer dado que
tenha potencial para identificar uma pessoa, como os dados cadastrais em geral, data
de nascimento, profissão, nacionalidade, dentre muitos outros. Trata-se aqui, de um
conceito amplo, que visa garantir a proteção dos dados de uma forma geral.

Sobre este tema, o professor Carlos Nelson Konder na obra Lei Geral de Proteção de
Dados Pessoais e suas repercussões no Direito Brasileiro, no capítulo “O tratamento de
dados sensíveis à luz da Lei 13.709/2018”, afirma que: “A marca característica do dado
pessoal, em geral, é a identificabilidade da pessoa natural a que ele se refere. Ou seja,
o dado será considerado pessoal não somente se ele próprio servir a identificar o seu
titular (por exemplo, o nome ou o número de CPF), mas também se, a partir da
integração com outras informações, essa identificação for possível (por exemplo, o
endereço ou o Internet Protocol – IP, o número que identifica o computador na rede).”
(GUSTAVO TEPEDINO, ANA FRAZÃO, MILENA DONATO OLIVA. Lei Geral de Proteção de
Dados Pessoais e suas repercussões no Direito Brasileiro).

Para além do conceito de dado pessoal acima exposto, a LGPD fez questão de conferir
especial proteção ao chamado dado pessoal sensível. Consoante disposto em seu art.
5º, II, será considerado sensível o dado pessoal que tratar sobre origem racial ou
étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de
caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado
genético ou biométrico vinculados a uma pessoa natural.

Nota-se que o dado sensível é uma espécie do gênero dado pessoal. Assim, todo dado
sensível será pessoal, porém nem todo dado pessoal será sensível. A característica que
permite identificar os dados como sensíveis é o fato de que o conhecimento sobre tais
dados pode contribuir para a discriminação de uma pessoa, causando-lhe certos
estigmas perante a sociedade.

Na tentativa de coibir esta prática, a LGPD previu essa categoria específica de dados
pessoais, haja vista sua maior necessidade de proteção ante sua relação direta com a
dignidade da pessoa humana. Neste sentido, é interessante destacar o posicionamento
do mencionado professor Carlos Nelson Konder: “os dados sensíveis são dados
pessoais especialmente suscetíveis de utilização para fins discriminatórios, como
estigmatização, exclusão ou segregação, de modo que seu tratamento atinja a
dignidade de seu titular, lesionando sua identidade pessoal ou privacidade. O próprio
anteprojeto da legislação identifica que o fim precípuo do tratamento diferenciado dos
dados sensíveis é impedir a discriminação da pessoa humana com base nas suas
informações. Por essa razão somente podem ser sensíveis os dados referentes à pessoa
humana, em virtude do valor intrínseco da sua dignidade”.

Vale ressaltar também que para o mencionado autor, o art. 5º, II da LGPD não se
configura como um rol taxativo dos dados pessoais considerados sensíveis, uma vez
que pela qualidade que possuem, outros dados podem vir a ostentar tal característica.

Em relação ao dado anonimizado, este encontra-se previsto no art. 5º, III da LGPD,
sendo caracterizado como o dado relativo a titular que não possa ser identificado. É
possível inferir que tal categoria NÃO faz parte do conceito de dados pessoais já
exposto, tratando-se de categoria a parte, que não está sujeita à incidência da LGPD,
pois entende-se que se não é possível a identificação do sujeito, não há viabilidade
para aplicação das sanções que a lei prevê.

Como exemplo de dado anonimizado, podemos citar as pesquisas feitas com o

objetivo de coletar opiniões a respeito de um bem ou serviço, onde não há
identificação do sujeito que prestou as informações. Cabe destacar no entanto que
dificilmente a anonimização será completa e por isso a LGPD fala na utilização de
“meios técnicos razoáveis e disponíveis” para tratar dos dados que devem ser
anônimos.

Outro tópico importante que merece ser ressaltado em relação aos dados
anonimizados, diz respeito a pseudonimização, prevista no art. 13, §4º da LGPD:

Art. 13, § 4º Para os efeitos deste artigo, a pseudonimização é o tratamento

por meio do qual um dado perde a possibilidade de associação, direta ou
indireta, a um indivíduo, senão pelo uso de informação adicional mantida
separadamente pelo controlador em ambiente controlado e seguro.

De acordo com tal dispositivo, o titular do dado pseudonimizado não será identificado
porque será feita uma separação entre o dado e a informação que seria capaz de
identificá-lo. Assim, a informação deve ser mantida em separado, para que não haja
associação dos dados que permita a identificação do titular.
Outros conceitos importantes na LGPD estão previstos nos incisos VI, VII, IX e X do art.
5º. Falamos aqui dos conceitos de controlador, operador, tratamento e agentes de
tratamento.

O conceito de tratamento é bem amplo, disposto no inciso X do art. 5º, abarcando

toda operação referente a coleta, produção, recepção, classificação, utilização, acesso,
reprodução, transmissão, distribuição, processamento, arquivamento,
armazenamento, eliminação, avaliação, controle da informação, modificação,
comunicação, transferência, difusão ou extração de dados pessoais. A LGPD prevê uma
série de deveres a serem observados no tratamento de dados pessoais, e caso isto não
ocorra, poderemos falar na hipótese de responsabilidade civil em razão da não
observância das regras de tratamento de dados pessoais contidas na lei. Falaremos em
um tópico especifico a respeito deste tema.

No que se refere ao conceito de controlador, contido no inciso VI do art. 5º, nota-se

que pode assumir esta função tanto a pessoa natural quanto jurídica de direito público
ou privado, a quem competem as decisões referentes ao tratamento dos dados
pessoais. É o controlador que detém o poder de comando.

Já a definição de operador está prevista no art. 5º, VII, que poderá ser, novamente,
tanto a pessoa natural ou jurídica, de direito público ou privado, a qual, por sua vez,
realiza o tratamento de dados pessoais em nome do controlador.

Vale ressaltar que as figuras do controlador e do operador são nomeadas pela LGPD
como agentes de tratamento, nos termos do inciso IX do mencionado art. 5º.

Em palestra bastante relevante sobre o tema, realizada no Tribunal de Justiça do

Estado de Minas Gerais, a professora da Universidade de Brasília, Ana Frazão, grande
estudiosa da LGPD, ressalta que a definição de controlador contempla uma série de
pessoas na cadeia de relações que envolvem a proteção dos dados. Isto porque uma
pessoa é responsável pela coleta de dados, outra é responsável por transmitir os
dados, outra por avaliá-los, e assim sucessivamente.

Para a palestrante, a LGPD parte da premissa de que há uma relação de hierarquia

entre quem decide (controlador) e quem executa (operador) e é a partir desta atuação
conjunta que poderão ocorrer possíveis danos em relação à proteção de dados,
devendo ser feita uma análise minuciosa para que se identifique quem terá a
responsabilidade em cada caso e em que medida ela será caracterizada.

Feitos estes apontamentos a respeito dos principais conceitos previstos na LGPD,

passaremos à análise de outros tópicos importantes para a compreensão do tema.

CAPÍTULO 3 – PROCEDIMENTO, CUIDADOS E FORMALIDADES NO TRATAMENTO DE

DADOS PESSOAIS:

Como vimos no tópico acima, o conceito de tratamento de dados disposto no art. 5º, X
da LGPD é extremamente amplo, contemplando todas as operações relativas à coleta,
produção, recepção, classificação, utilização, acesso, reprodução, transmissão,
distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação,
controle da informação, modificação, comunicação, transferência, difusão ou extração
de dados pessoais.

O tratamento de dados pessoais é regulado a partir do art. 7º da LGPD. Entre os artigos

7º e 10, encontraremos os requisitos que a lei prevê para o tratamento de dados
pessoais de forma geral. Nos artigos 11 a 13 estão presentes as regras a serem
observadas para o tratamento de dados pessoais sensíveis e no art. 14 teremos as
normas específicas para o tratamento de dados pessoais de crianças e adolescentes.

Para além destes dispositivos citados, a LGPD estabeleceu um capítulo próprio para
regulamentar o tratamento de dados pessoais pelo Poder Público, por entender que
há algumas especificidades que devem ser observadas com maior cautela no
tratamento de dados realizado pela Administração. Abordaremos com mais detalhes
este tema a partir de agora.

Primeiramente, é importante saber a quais entes da Administração se aplicam as

regras da LGPD. De acordo com o art. 23, serão as pessoas jurídicas de direito público
previstas no art. 1º, p.ú, da Lei de Acesso à Informação, quais sejam:

1) Órgãos públicos integrantes da administração direta dos Poderes Executivo,

Legislativo, incluindo as Cortes de Contas, e Judiciário e do Ministério Público;

2) Autarquias, fundações públicas, empresas públicas, sociedades de economia

mista e demais entidades controladas direta ou indiretamente pela União,
Estados, Distrito Federal e Municípios.

OBS: a LGPD determina em seu art. 23, §4º, que os serviços notariais e de registro
exercidos em caráter privado, por delegação do Poder Público, terão o mesmo
tratamento conferido às pessoas jurídicas acima elencadas. Ressalte-se que os órgãos
notariais e de registro devem fornecer à Administração Pública o acesso aos dados por
meio eletrônico, nos termos do art. 23, §5º.

Ademais, o art. 23 estabelece quais os requisitos para o tratamento de dados pessoais

pela Administração Pública. Segundo o dispositivo, o tratamento de dados pessoais
deve ser realizado:

a) Para o atendimento da finalidade pública;

b) Na persecução do interesse público;
c) Com o objetivo de executar as competências legais ou cumprir as atribuições
legais do serviço público. Alguns doutrinadores têm interpretado essa terceira
hipótese como uma espécie de “cláusula geral”, que autorizaria o tratamento
de dados pelo poder público em hipóteses diversas, pois “executar as
competências legais” é uma expressão bastante abrangente.

LGPD, Art. 23. O tratamento de dados pessoais pelas pessoas jurídicas de

direito público referidas no parágrafo único do art. 1º da Lei nº 12.527, de 18
 de novembro de 2011 (Lei de Acesso à Informação) , deverá ser realizado
para o atendimento de sua finalidade pública, na persecução do interesse
público, com o objetivo de executar as competências legais ou cumprir as
atribuições legais do serviço público, desde que:
I - sejam informadas as hipóteses em que, no exercício de suas
competências, realizam o tratamento de dados pessoais, fornecendo
informações claras e atualizadas sobre a previsão legal, a finalidade, os
procedimentos e as práticas utilizadas para a execução dessas atividades,
em veículos de fácil acesso, preferencialmente em seus sítios eletrônicos;
II - (VETADO); e
III - seja indicado um encarregado quando realizarem operações de
tratamento de dados pessoais, nos termos do art. 39 desta Lei;
e (Redação dada pela Lei nº 13.853, de 2019) Vigência
IV - (VETADO). (Incluído pela Lei nº 13.853, de 2019) Vigência
§ 1º A autoridade nacional poderá dispor sobre as formas de publicidade das
operações de tratamento.
§ 2º O disposto nesta Lei não dispensa as pessoas jurídicas mencionadas
no caput deste artigo de instituir as autoridades de que trata a Lei nº 12.527,
de 18 de novembro de 2011 (Lei de Acesso à Informação) .
§ 3º Os prazos e procedimentos para exercício dos direitos do titular perante
o Poder Público observarão o disposto em legislação específica, em especial
as disposições constantes da Lei nº 9.507, de 12 de novembro de 1997 (Lei
do Habeas Data) , da Lei nº 9.784, de 29 de janeiro de 1999 (Lei Geral do
Processo Administrativo) , e da Lei nº 12.527, de 18 de novembro de 2011
(Lei de Acesso à Informação) .
§ 4º Os serviços notariais e de registro exercidos em caráter privado, por
delegação do Poder Público, terão o mesmo tratamento dispensado às
pessoas jurídicas referidas no caput deste artigo, nos termos desta Lei.
§ 5º Os órgãos notariais e de registro devem fornecer acesso aos dados por
meio eletrônico para a administração pública, tendo em vista as finalidades
de que trata o caput deste artigo.

No que se refere às empresas públicas e sociedades de economia mista (estatais), a

LGPD também traz algumas disposições, conferindo-lhes tratamento diferenciado com
base em sua natureza jurídica, havendo duas possibilidades neste caso:

1) Se a empresa pública ou sociedade de economia mista atua em regime de

concorrência – a LGPD determina que terão o mesmo tratamento dispensado
às pessoas jurídicas de direito privado particulares. Trata-se de uma
consequência do regime de paridade, que decorre do art. 173 da CRFB.

Art. 173, § 1º A lei estabelecerá o estatuto jurídico da empresa pública, da

sociedade de economia mista e de suas subsidiárias que explorem atividade
econômica de produção ou comercialização de bens ou de prestação de
serviços, dispondo sobre: (Redação dada pela Emenda Constitucional nº
19, de 1998)

II - a sujeição ao regime jurídico próprio das empresas privadas, inclusive

quanto aos direitos e obrigações civis, comerciais, trabalhistas e tributários;
(Incluído pela Emenda Constitucional nº 19, de 1998)
 2) Se a empresa pública ou sociedade de economia mista operacionaliza políticas
públicas – a LGPD define que terão o mesmo tratamento dispensado aos
órgãos e às entidades do Poder Público.

LGPD, Art. 24. As empresas públicas e as sociedades de economia mista que

atuam em regime de concorrência, sujeitas ao disposto no art. 173 da
Constituição Federal , terão o mesmo tratamento dispensado às pessoas
jurídicas de direito privado particulares, nos termos desta Lei.
Parágrafo único. As empresas públicas e as sociedades de economia mista,
quando estiverem operacionalizando políticas públicas e no âmbito da
execução delas, terão o mesmo tratamento dispensado aos órgãos e às
entidades do Poder Público, nos termos deste Capítulo.

Vale ressaltar que, de acordo com o art. 7º, III da LGPD, a Administração Pública
poderá realizar o tratamento e o uso compartilhado de dados necessários à execução
de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos,
convênios ou instrumentos congêneres.

Em relação ao compartilhamento de dados, a LGPD prevê em seu art. 25 que os dados

deverão ser mantidos em formato interoperável e estruturado para o uso
compartilhado, para a execução de políticas públicas, prestação de serviços públicos,
descentralização da atividade pública e a disseminação e acesso das informações pelo
público em geral.

Ademais, é possível perceber que a LGPD permite a delegação do tratamento de dados

pessoais a pessoas privadas, através de contratos administrativos ou outros
instrumentos correlatos, a exemplo dos convênios. Esta delegação ocorre de forma
excepcional, pois a regra é que é vedado ao Poder Público transferir a entidades
privadas dados pessoais constantes de bases de dados a que tenha acesso. A
descentralização é admitida no §1º do art. 26:

LGPD, Art. 26, §1º É vedado ao Poder Público transferir a entidades privadas
dados pessoais constantes de bases de dados a que tenha acesso, exceto:
I - em casos de execução descentralizada de atividade pública que exija a
transferência, exclusivamente para esse fim específico e determinado,
observado o disposto na Lei nº 12.527, de 18 de novembro de 2011 (Lei de
Acesso à Informação) ;
II - (VETADO);
III - nos casos em que os dados forem acessíveis publicamente, observadas
as disposições desta Lei.
IV - quando houver previsão legal ou a transferência for respaldada em
contratos, convênios ou instrumentos congêneres; ou (Incluído pela Lei
nº 13.853, de 2019)
V - na hipótese de a transferência dos dados objetivar exclusivamente a
prevenção de fraudes e irregularidades, ou proteger e resguardar a
segurança e a integridade do titular dos dados, desde que vedado o
tratamento para outras finalidades. (Incluído pela Lei nº 13.853, de
2019) Vigência
§ 2º Os contratos e convênios de que trata o § 1º deste artigo deverão ser
comunicados à autoridade nacional.
Ponto importante a ser destacado é que nestas hipóteses de descentralização em que
houver um terceiro contratado como operador, este responderá solidariamente pelos
danos causados pelo tratamento de dados quando descumprir as obrigações da lei ou
quando não tiver seguido as instruções lícitas do controlador, nos termos do que prevê
o art. 42 da LGPD (No próximo capítulo trabalharemos de forma mais específica as
questões relativas à responsabilidade civil na LGPD).

LGPD, Art. 42. O controlador ou o operador que, em razão do exercício de

atividade de tratamento de dados pessoais, causar a outrem dano
patrimonial, moral, individual ou coletivo, em violação à legislação de
proteção de dados pessoais, é obrigado a repará-lo.
§ 1º A fim de assegurar a efetiva indenização ao titular dos dados:
I - o operador responde solidariamente pelos danos causados pelo
tratamento quando descumprir as obrigações da legislação de proteção de
dados ou quando não tiver seguido as instruções lícitas do controlador,
hipótese em que o operador equipara-se ao controlador, salvo nos casos de
exclusão previstos no art. 43 desta Lei;
II - os controladores que estiverem diretamente envolvidos no tratamento do
qual decorreram danos ao titular dos dados respondem solidariamente,
salvo nos casos de exclusão previstos no art. 43 desta Lei.
§ 2º O juiz, no processo civil, poderá inverter o ônus da prova a favor do
titular dos dados quando, a seu juízo, for verossímil a alegação, houver
hipossuficiência para fins de produção de prova ou quando a produção de
prova pelo titular resultar-lhe excessivamente onerosa.
§ 3º As ações de reparação por danos coletivos que tenham por objeto a
responsabilização nos termos do caput deste artigo podem ser exercidas
coletivamente em juízo, observado o disposto na legislação pertinente.
§ 4º Aquele que reparar o dano ao titular tem direito de regresso contra os
demais responsáveis, na medida de sua participação no evento danoso.

Vale ainda mencionar que nestas relações de delegação, o Poder Público correrá, de
certa forma, um maior risco de responsabilidade, pois o tratamento realizado pelo
operador designado será feito com base nas instruções fornecidas pelo controlador,
que neste caso é a Administração Pública.

LGPD, Art. 39. O operador deverá realizar o tratamento segundo as

instruções fornecidas pelo controlador, que verificará a observância das
próprias instruções e das normas sobre a matéria.

Por fim, de modo a evitar possíveis danos decorrentes da atividade de tratamento de

dados, a LGPD estabelece que os agentes de tratamento devem adotar medidas de
segurança, técnicas e administrativas para proteger os dados pessoais. É o que
dispõem os artigos 46 e 47:

LGPD, Art. 46. Os agentes de tratamento devem adotar medidas de

segurança, técnicas e administrativas aptas a proteger os dados pessoais de
acessos não autorizados e de situações acidentais ou ilícitas de destruição,
perda, alteração, comunicação ou qualquer forma de tratamento
inadequado ou ilícito.
§ 1º A autoridade nacional poderá dispor sobre padrões técnicos mínimos
para tornar aplicável o disposto no caput deste artigo, considerados a
natureza das informações tratadas, as características específicas do
tratamento e o estado atual da tecnologia, especialmente no caso de dados
 pessoais sensíveis, assim como os princípios previstos no caput do art. 6º
desta Lei.
§ 2º As medidas de que trata o caput deste artigo deverão ser observadas
desde a fase de concepção do produto ou do serviço até a sua execução.

LGPD, Art. 47. Os agentes de tratamento ou qualquer outra pessoa que

intervenha em uma das fases do tratamento obriga-se a garantir a
segurança da informação prevista nesta Lei em relação aos dados pessoais,
mesmo após o seu término.

Considerando os aspectos até aqui ressaltados, passaremos agora à análise mais

detalhada da responsabilidade civil no âmbito da LGPD.

CAPÍTULO 4 – RESPONSABILIDADE CIVIL:

A temática da responsabilidade civil no âmbito da proteção de dados foi regulada

entre os artigos 42 a 45 da LGPD. Este é um ponto sobre o qual a doutrina se debruça
intensamente, pois há certa polêmica envolvida, já que a lei não foi clara ao indicar
qual regime de responsabilidade civil foi adotado, ou seja, a LGPD não é explícita ao
determinar se será utilizada a teoria da responsabilidade civil objetiva ou a teoria da
responsabilidade civil subjetiva.

Dentre os doutrinadores que se dedicaram ao estudo do tema, podemos citar a

professora de Direito Civil da UERJ, Gisela Sampaio, que em recente palestra realizada
neste ano apresenta três correntes doutrinárias que tentam explicar o regime de
responsabilidade civil delineado na LGPD. Vamos ao exame de cada uma delas:

1ª Corrente: Responsabilidade Objetiva - a primeira destas correntes defende que a

LGPD adotou a teoria da responsabilidade civil objetiva, sustentando que a atividade
de tratamento de dados é em si uma atividade de risco e por esse motivo um agente
de tratamento poderia ser enquadrado na cláusula geral de responsabilidade objetiva
prevista no art. 927, p.ú, do Código Civil.

Código Civil, Art. 927. Aquele que, por ato ilícito (arts. 186 e 187), causar
dano a outrem, fica obrigado a repará-lo.
Parágrafo único. Haverá obrigação de reparar o dano, independentemente
de culpa, nos casos especificados em lei, ou quando a atividade
normalmente desenvolvida pelo autor do dano implicar, por sua natureza,
risco para os direitos de outrem.

Todavia, na concepção da professora Gisela, essa corrente não seria a mais adequada,
pois a cláusula geral de responsabilidade civil objetiva tem caráter residual, ou seja,
será aplicada quando não houver outro dispositivo mais específico. Como sabemos, a
LGPD dedicou um capítulo próprio para regular a responsabilidade civil, composto por
quatro dispositivos que irão definir qual a natureza da responsabilidade adotada pela
lei, o que afastaria, portanto, a aplicação do Código Civil, já que o tema tem previsão
específica na própria LGPD.
Outro argumento usado pelos defensores da aplicação da teoria da responsabilidade
civil objetiva na LGPD é o fato de que a lei tem diversos dispositivos inspirados no
Código de Defesa do Consumidor. Porém a professora Gisela atenta para a existência
de duas diferenças fundamentais que a LGPD possui em relação ao CDC. Em suas
palavras, não há na LGPD um dispositivo claro indicando expressamente que a
responsabilidade ali prevista independe de culpa, como há no CDC. No CDC, a
responsabilidade objetiva está claríssima, tanto em seu art. 12 quanto no art. 14.

CDC, Art. 12. O fabricante, o produtor, o construtor, nacional ou estrangeiro,

e o importador respondem, independentemente da existência de culpa, pela
reparação dos danos causados aos consumidores por defeitos decorrentes
de projeto, fabricação, construção, montagem, fórmulas, manipulação,
apresentação ou acondicionamento de seus produtos, bem como por
informações insuficientes ou inadequadas sobre sua utilização e riscos.

CDC, Art. 14. O fornecedor de serviços responde, independentemente da

existência de culpa, pela reparação dos danos causados aos consumidores
por defeitos relativos à prestação dos serviços, bem como por informações
insuficientes ou inadequadas sobre sua fruição e riscos.

Ademais, a professora Gisela também ressalta que embora o art. 43 da LGPD tenha
uma redação muito similar ao art. 12, §3º, CDC, há uma diferença extremamente
fundamental. De acordo com o art. 43 da LGPD, os agentes somente não serão
responsáveis em três hipóteses:

LGPD, Art. 43. Os agentes de tratamento só não serão responsabilizados

quando provarem:
I - que não realizaram o tratamento de dados pessoais que lhes é atribuído;
II - que, embora tenham realizado o tratamento de dados pessoais que lhes é
atribuído, não houve violação à legislação de proteção de dados; ou
III - que o dano é decorrente de culpa exclusiva do titular dos dados ou de
terceiro.

Na hipótese do inciso I, os agentes de tratamento não serão responsabilizados se

provarem que não realizaram o tratamento de dados pessoais que lhes é atribuído, ou
seja, se demonstrarem que não há nexo de causalidade entre a sua conduta e o dano,
conforme explica a palestrante.

Na hipótese do inciso III, os agentes não serão responsabilizados se provarem que o

dano é exclusivo da vítima ou decorre de fato de terceiro, que são fatores que também
interrompem o nexo de causalidade.

Tanto o inciso I quanto o inciso III são idênticos aos incisos I e III do art. 12, § 3º do
CDC, e, de acordo com a professora Gisela, tais incisos não deixam claro qual o regime
adotado, pois o nexo de causalidade é um elemento comum tanto na responsabilidade
objetiva quanto na subjetiva.

CDC, Art. 12, § 3° O fabricante, o construtor, o produtor ou importador só

não será responsabilizado quando provar:
I - que não colocou o produto no mercado;
II - que, embora haja colocado o produto no mercado, o defeito inexiste;
 III - a culpa exclusiva do consumidor ou de terceiro.

Em sua opinião, a diferença está no inciso II. Enquanto no art. 12, §3º, II do CDC o
legislador afirma que o fornecedor não será responsável se ele comprovar que o
defeito não existe, na LGPD o inciso II do art. 43 determina que os agentes de
tratamento não serão responsáveis se comprovarem que não violaram a legislação de
proteção de dados. Ou seja, se os agentes de tratamento causarem um dano, mas
comprovarem que observaram todos os deveres impostos pelo legislador, eles não
irão responder, porque nesse caso foi observado o standard de conduta previsto pelo
legislador, e, portanto, não agiram com culpa. Baseado em tais argumentos, o
posicionamento da professora Gisela é o de que não se pode dizer que a LGPD adotou
o modelo objetivo de responsabilidade civil.

Por fim, a palestrante destaca que o legislador determinou também em seu art. 44 a
necessidade de se observar os deveres impostos pela lei, de modo a ressaltar que o
agente de tratamento só responde se não adotar as medidas de segurança previstas na
LGPD.
LGPD, Art. 44. O tratamento de dados pessoais será irregular quando deixar
de observar a legislação ou quando não fornecer a segurança que o titular
dele pode esperar, consideradas as circunstâncias relevantes, entre as quais:
I - o modo pelo qual é realizado;
II - o resultado e os riscos que razoavelmente dele se esperam;
III - as técnicas de tratamento de dados pessoais disponíveis à época em que
foi realizado.
Parágrafo único. Responde pelos danos decorrentes da violação da
segurança dos dados o controlador ou o operador que, ao deixar de adotar
as medidas de segurança previstas no art. 46 desta Lei, der causa ao dano.

2ª Corrente: Responsabilidade Subjetiva – esta é a corrente defendida pela

palestrante, inclusive na obra Fundamentos do Direito Civil – Responsabilidade Civil,
organizada pelo doutrinador Gustavo Tepedino.

De acordo com sua posição, a LGPD estabelece uma série de deveres e cria um
standard de conduta a ser seguido pelos agentes de tratamento. Dessa forma, caso a
responsabilidade objetiva tivesse sido adotada pela LGPD, não teria sentido a previsão
de tais deveres, pois de qualquer forma o agente responderia objetivamente, ou seja,
sem que houvesse a necessidade de comprovação de sua culpa.

3ª Corrente: Responsabilidade Proativa – esta é a corrente capitaneada por Maria

Celina Bodin e João Quinelato, e que se assemelha de certa forma à posição da
segunda corrente.

Para os mencionados autores, a LGPD não adotou um modelo de responsabilidade

objetiva, mas sim um modelo especial, que convencionaram chamar de
“responsabilidade proativa” de modo a ressaltar que neste caso o próprio legislador
estabeleceu um standard de conduta a ser seguida pelos agentes de tratamento, o que
também é defendido pela segunda corrente, por isso há grande semelhança entre
ambos os posicionamentos.
Feitas estas considerações a respeito da responsabilidade civil no âmbito da LGPD,
passaremos agora ao estudo do último tópico desta apostila, referente à análise da
relação da LGPD com a Lei de Acesso à Informação.

CAPÍTULO 5 – RELAÇÃO COM A LEI DE ACESSO À INFORMAÇÃO:

A Lei Geral de Proteção de Dados foi um marco para o direito Brasileiro, pois fez um grande
apanhado de normas de modo a trazer mais segurança jurídica e fazer com que os princípios
basilares de proteção aos dados pessoais sejam compreendidos de forma mais clara pela
população. Essa lei traz instrumentos para que as pessoas de fato saibam de seus direitos e
possam fazer solicitações perante empresas e órgãos públicos.

Já a Lei de Acesso à Informação visa a desenvolver uma cultura de controle social na

Administração Pública, conforme se percebe pelo art. 5º da LAI:

Art. 5º É dever do Estado garantir o direito de acesso à informação, que será

franqueada, mediante procedimentos objetivos e ágeis, de forma transparente, clara e
em linguagem de fácil compreensão.

Importante mencionar que entre essas duas leis existem muito mais confluências do que
conflitos, em havendo esses últimos deve-se socorrer à Constituição Federal e à proteção de
Direitos Fundamentais do cidadão. Na verdade, essas são leis complementares que servem ao
propósito de trazer transparência no que deve assim ser e sigilo em casos que assim o
requeiram.

A questão é de certo fundamental, pois, para além do sigilo patrimonial, o sigilo existencial
concerne a todos e muitas vezes a população não se dá conta de que o Estado detém uma
gama de informações que dizem respeito à coletividade. Se de um lado existe a proteção aos
dados das pessoas, de outro está a necessidade do Estado de prestar todas as informações que
ele mesmo coleta, pormenorizada na LAI (Lei de Acesso à Informação).

Há na LAI algumas hipóteses em que não se exige o consentimento da pessoa, situações em

que a transparência publica cede lugar ao sigilo pessoal, vejamos o art. 31 § 3º:

§ 3º O consentimento referido no inciso II do § 1º não será exigido quando as

informações forem necessárias:

I - à prevenção e diagnóstico médico, quando a pessoa estiver física ou legalmente

incapaz, e para utilização única e exclusivamente para o tratamento médico;

II - à realização de estatísticas e pesquisas científicas de evidente interesse público ou

geral, previstos em lei, sendo vedada a identificação da pessoa a que as informações se
referirem;

III - ao cumprimento de ordem judicial;

IV - à defesa de direitos humanos; ou

V - à proteção do interesse público e geral preponderante.

A LAI não é completa em si mesma, sendo que a LGPD veio para complementar a proteção dos
dados. Não existem dúvidas que a Administração Pública se submete a essas leis, até mesmo
por ser a maior detentora dos dados sensíveis.

Quanto ao compartilhamento de dados, esse é possível dentro da Administração Pública, só

podendo ser feito com autorização legal. E externamente? Há algumas hipóteses em que é
permitido, são elas:

• Execução descentralizada (concessão, PPP...)

• Em casos de dados acessíveis publicamente
• Quando houver previsão legal
• Para prevenir fraudes e irregularidades
• Demais hipóteses do art. 11 da LGPD

Art. 11. O tratamento de dados pessoais sensíveis somente poderá ocorrer nas
seguintes hipóteses:

I - quando o titular ou seu responsável legal consentir, de forma específica e

destacada, para finalidades específicas;

II - sem fornecimento de consentimento do titular, nas hipóteses em que for

indispensável para:

a) cumprimento de obrigação legal ou regulatória pelo controlador;

b) tratamento compartilhado de dados necessários à execução, pela administração

pública, de políticas públicas previstas em leis ou regulamentos;

c) realização de estudos por órgão de pesquisa, garantida, sempre que possível, a

anonimização dos dados pessoais sensíveis;

d) exercício regular de direitos, inclusive em contrato e em processo judicial,

administrativo e arbitral, este último nos termos da Lei nº 9.307, de 23 de setembro de
1996 (Lei de Arbitragem) ;

e) proteção da vida ou da incolumidade física do titular ou de terceiro;

f) tutela da saúde, em procedimento realizado por profissionais da área da

saúde ou por entidades sanitárias; ou

f) tutela da saúde, exclusivamente, em procedimento realizado por profissionais de

saúde, serviços de saúde ou autoridade sanitária; ou (Redação dada pela Lei nº
13.853, de 2019) Vigência

g) garantia da prevenção à fraude e à segurança do titular, nos processos de

identificação e autenticação de cadastro em sistemas eletrônicos, resguardados os
direitos mencionados no art. 9º desta Lei e exceto no caso de prevalecerem direitos e
liberdades fundamentais do titular que exijam a proteção dos dados pessoais.

Quais seriam os agentes de dados tratados pelo Poder Público? Prova da complementariedade
dessas duas leis pode ser visto no art. 23 da LGPD, que remete ao art. 1º da LAI.
 Art. 23. LGPD O tratamento de dados pessoais pelas pessoas jurídicas de direito
público referidas no parágrafo único do art. 1º da Lei nº 12.527, de 18 de novembro de
2011 (Lei de Acesso à Informação) , deverá ser realizado para o atendimento de sua
finalidade pública, na persecução do interesse público, com o objetivo de executar as
competências legais ou cumprir as atribuições legais do serviço público, desde que:

Art. 1º LAI Esta Lei dispõe sobre os procedimentos a serem observados pela União,
Estados, Distrito Federal e Municípios, com o fim de garantir o acesso a informações
previsto no inciso XXXIII do art. 5º , no inciso II do § 3º do art. 37 e no § 2º do art. 216
da Constituição Federal.

Parágrafo único. Subordinam-se ao regime desta Lei:

I - os órgãos públicos integrantes da administração direta dos Poderes Executivo,

Legislativo, incluindo as Cortes de Contas, e Judiciário e do Ministério Público;

II - as autarquias, as fundações públicas, as empresas públicas, as sociedades de

economia mista e demais entidades controladas direta ou indiretamente pela União,
Estados, Distrito Federal e Municípios.

No que diz respeito à accountability, sendo esta uma prestação de contas com
responsabilidade, os órgãos da administração pública podem se utilizar das governanças de
dados utilizadas pelas empresas privadas. Na própria LGPD há adoção dessas medidas, como
no art. 46 da lei. Deve-se levar em conta o princípio da finalidade, a justificativa do porquê da
utilização dos dados, com qual objetivo.

Art. 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e

administrativas aptas a proteger os dados pessoais de acessos não autorizados e de
situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou
qualquer forma de tratamento inadequado ou ilícito.

Deve ser dada especial atenção no tocante às pesquisas científicas, essas por diversas vezes
demandam acesso a dados pessoais que são imprescindíveis para o estudo. A LGPD autoriza
essa utilização de informações independentemente do consentimento do titular, garantida
sempre que possível a anonimização, consoante art. 7º.

Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes
hipóteses:

IV - para a realização de estudos por órgão de pesquisa, garantida, sempre que

possível, a anonimização dos dados pessoais;

Porém, a LAI em seu art. 31 § 3º, II autoriza o acesso a dados pessoais, independente de
consentimento do titular, para fins de pesquisas científicas, mas veda a identificação da pessoa
a que as informações se referirem.

Art. 31. O tratamento das informações pessoais deve ser feito de forma transparente e
com respeito à intimidade, vida privada, honra e imagem das pessoas, bem como às
liberdades e garantias individuais.

§ 3º O consentimento referido no inciso II do § 1º não será exigido quando as

informações forem necessárias:
 II - à realização de estatísticas e pesquisas científicas de evidente interesse público ou
geral, previstos em lei, sendo vedada a identificação da pessoa a que as informações se
referirem;

Como interpretar então? A procuradora Diana Loureiro em seu artigo “Administração Pública e
tratamento de dados pessoais para pesquisa científica” afirma que: “a interpretação a ser dada
é a de que a LAI veda a identificação do titular dos dados pessoais na divulgação da pesquisa
científica, mas não no momento anterior de acesso a tais informações pelos pesquisadores
para o desenvolvimento do estudo, desde que este acesso seja efetivamente necessário para a
finalidade almejada. Caberá, portanto, aos agentes do Estado ou aos pesquisadores a
anonimização do dado antes de tornar público o estudo”.

As questões relacionadas à saúde são consideradas dados sensíveis e, dessa forma, conforme
preceitua o art. 6º, I, II, III e IX, LGPD deve-se atender os princípios da finalidade, adequação,
necessidade e não discriminação, sendo que deve ser sempre no mínimo necessário, não
podendo ter por objetivo motivos discriminatórios ilícitos ou abusivos.

A procuradora Diana Loureiro afirma ainda que: “Tanto a LGPD quanto a LAI permitem o
tratamento de dados pessoais para a realização de pesquisas científicas, inclusive de dados
pessoais sensíveis e daqueles titularizados por crianças. Nessas duas últimas situações,
contudo, a cautela no tratamento das informações deve ser redobrada. Diante de solicitação
de acesso, fundamental verificar se há hipótese legalmente prevista que autorize o
fornecimento do dado, se a finalidade pretendida é legítima, específica e explícita, e se a
operação é compatível com o atingimento do propósito alegado e se limita ao mínimo
necessário para tanto. Devem ser considerados, ainda, os princípios da não discriminação e do
melhor interesse da criança, bem como o comando de manutenção de ambientes controlados
e seguros no tratamento dos dados pessoais, prevenindo-se a ocorrência de danos”.

CAPÍTULO 6: AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS

Conforme estabelecido na Lei Geral de Proteção de Dados (LGPD), a Autoridade Nacional de

Proteção de Dados (ANPD) é um órgão da administração pública federal que tem por
responsabilidade zelar, implementar e fiscalizar o cumprimento da Lei em todo o território
nacional. Integra a Presidência da República e tem seu Conselho Diretor escolhido pelo
Presidente e por ele nomeado, após aprovação pelo Senado Federal, sendo também ato do
Presidente dispor sobre a estrutura regimental da ANPD.

A professora Chiara Spadaccini em seu artigo “Por que precisamos de uma Autoridade
Nacional de Proteção de Dados?” afirma que: “acerca da importância da Autoridade Nacional,
destaca-se que ela pode estabelecer regulamentos específicos para setores que lidam com
grandes volumes de dados, inclusive sensíveis, e proporcionar flexibilizações pontuais, a
depender do poderio e da estrutura dos responsáveis pelo tratamento, visando estimular a
inovação e novos modelos de negócios.”

No que diz respeito à composição da ANPD, pode ser assim resumida:

CONSELHO DIRETOR Composto por 5 membros ocupantes de

cargos em comissão (DAS- 5) e nomeados
pela Presidência da República. O mandato
será de 4 anos, sendo removido apenas em

CONSELHO NACIONAL DE PROTEÇÃO DE Com competências consultivas, é formado
DADOS E DA PRIVACIDADE
UNIDADES ADMINISTRATIVAS E UNIDADES
ESPECIALIZADAS NECESSÁRIAS À APLICAÇÃO
DA LEI, CORREGEDORIA, OUVIDORIA E
ÓRGÃO DE ASSESSORAMENTO JURÍDICO
PRÓPRIO
virtude de renúncia, condenação judicial
transitada em julgado ou pena de demissão
decorrente de processo administrativo
disciplinar instaurado pelo Presidente da
República, sem necessidade de sabatina pelo
Senado.
por 23 representantes do governo, sociedade
civil, instituições científicas e setor
empresarial (sendo que os três últimos
setores terão mandato de 2 anos). Seus
representantes são designados pela
Presidência da República e não poderão
compor o Comitê Gestor da Internet no Brasil
(CGI.br).

O Conselho Nacional de Proteção de Dados e da Privacidade será formado por 23

representantes, titulares e suplentes, vindos dos seguintes órgãos:

• 5 membros do Poder Executivo Federal;

• 3 membros de entidades da sociedade civil com atuação relacionada a proteção de
dados pessoais;
• 3 membros de confederação sindicais representativas das categorias econômicas do
setor produtivo;
• 3 membros de instituições cientificas, tecnológicas e de inovação;
• 2 membros de entidades representativas do setor empresarial relacionado à área de
tratamento de dados pessoais;
• 2 membros de entidades representativas do setor laboral;
• 1 membro do Senado Federal;
• 1 membro da Câmara dos Deputados;
• 1 membro do Conselho Nacional de Justiça;
• 1 membro do Conselho Nacional do Ministério Público;
• 1 membro do Comitê Gestor da Internet no Brasil.

Dessa forma, a existência de uma Autoridade de proteção de dados é fundamental pelo fato
de que a extensão dos direitos e obrigações instituídos pela LGPD ao longo do seu texto não
ficou clara o suficiente para ensejar a sua aplicação sem ressalvas. Além do mais, vários
aspectos da LGPD dependem de futuro esclarecimento ou normatização pela Autoridade
(como por exemplo parâmetros aceitáveis para segurança da informação ou para executar
pedidos de portabilidade).

Assim, ainda que o estudo da LGPD seja essencial por todos aqueles que tratam dados
pessoais, inclusive pela Administração Pública – como exposto neste trabalho -, é importante
aguardar como a ANPD irá regulamentar a aplicabilidade da LGPD em cada setor. Trata-se de
um trabalho de aperfeiçoamento e estudo contínuo. Contem conosco para esse
acompanhamento! Até a próxima!