​CENTRO UNIVERSITÁRIO MÓDULO

GRADUAÇÃO EM DIREITO

GABRIEL GOMES DE OLIVEIRA

OS IMPACTOS DA LEI GERAL DE PROTEÇÃO DE DADOS NO

COMÉRCIO ELETRÔNICO

CARAGUATATUBA –SP
2020
 GABRIEL GOMES DE OLIVEIRA

OS IMPACTOS DA LEI GERAL DE PROTEÇÃO DE DADOS NO

COMÉRCIO ELETRÔNICO

Trabalho de Conclusão de Curso apresentado

ao Centro Universitário Módulo, como
requisito parcial para obtenção do título de
Bacharel em Direito.
Orientador: Profº. Dr. Marcelino Sato Matsuda

CARAGUATATUBA-SP

2020
 RESUMO

A presente monografia surgiu com a necessidade de compreender as mudanças

geradas com a publicação da Lei Geral de Proteção de Dados brasileira. Nas últimas
décadas, a tecnologia avançou de maneira inimaginável. Com o mundo cada vez
mais conectado à internet, a quantidade incessante de novas informações fez com
que determinados aspectos de nossas vidas passem despercebidos. Um destes
detalhes foi a disseminação de nossos dados pessoais; com o impacto dos grandes
vazamentos de dados e seu uso para modificar a vida de milhares de pessoas, as
organizações mundiais iniciaram um processo de normatização. O Brasil foi um
desses países, desenvolvendo a Lei Geral de Proteção de Dados sob a luz do
ordenamento jurídico europeu. Com a perspectiva da entrada em vigor da normativa,
esta pesquisa se ateve a compreender quais mudanças e quais desafios o comércio
eletrônico terá de atravessar para entrar em conformidade com a lei.

Palavras-chave: dados, privacidade, comércio, eletrônico, internet

 ABSTRACT

The attendant monograph work arose with the need to understand the changes
generated by the publication of the Brazilian General Data Protection Law. In recent
decades, technology has advanced in an unimaginable way. With the world
increasingly connected to the internet, the incessant amount of new information has
made certain aspects of our lives go unnoticed. One of these details was the
dissemination of our personal data; With the impact of large data leaks and their use
to change the lives of thousands of people, worldwide organizations have started a
standardization process. Brazil was one of those countries, developing the General
Data Protection Law under the light of the European legal system. With the
perspective of the regulation coming into force, this research focused on
understanding what changes and challenges electronic commerce will have to go
through in order to comply with the law.

Palavras-chave: dados, privacidade, comércio, eletrônico, internet

 SUMÁRIO

1. INTRODUÇÃO 6

2. COMÉRCIO ELETRÔNICO ENTRE EMPRESÁRIO E CONSUMIDOR 7

2.1. DEFINIÇÃO 7
2.2. HISTÓRICO 8
2.3. LEGISLAÇÃO BRASILEIRA E O COMÉRCIO ELETRÔNICO 11
2.3.1. Código de Defesa do Consumidor e Lei do E-Commerce 11
2.3.2. Marco Civil da Internet 14

3. LEI GERAL DE PROTEÇÃO DE DADOS 16

3.1. HISTÓRICO 16
3.2. CONCEITOS E PRINCÍPIOS 21
3.3. DIREITOS DOS TITULARES DE DADOS 24
3.4. SANÇÕES 25
3.5. AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS 26

4. IMPLEMENTAÇÃO DA LGPD 29

5. CONSIDERAÇÕES FINAIS 30
REFERÊNCIAS BIBLIOGRÁFICAS 32
 6

1. INTRODUÇÃO

A presente monografia busca apresentar uma visão geral a respeito dos

impactos causados pela Lei Geral de Proteção de Dados (LGPD) em face do
comércio eletrônico. Inicialmente, trata-se da perspectiva histórica do comércio
eletrônico, suas origens e suas fases. Devemos compreender a sua importância
para a sociedade contemporânea, em números. A partir de então, observamos as
leis que afetaram o comércio eletrônico e a proteção de dados dos consumidores
antes da criação da LGPD.
Diante da criação da normativa a respeito da proteção de dados, analisamos
seu histórico recente, os motivos que foram o ponto de partida de sua origem, desde
os vazamentos de dados internacionais, como o desenvolvimento da lei europeia
própria para a matéria.
Com isso, discorremos de maneira ampla sobre a Lei Geral de Dados
propriamente dita, suas mudanças mais relevantes, seus fundamentos, suas
sanções e sobre a Autoridade Nacional de Proteção de Dados (ANPD), órgão que
fiscaliza e garante o funcionamento da lei.
Por fim, foram tecidos breves comentários sobre procedimentos dos quais as
empresas podem implementar e estar de acordo com a Lei Geral de Proteção de
Dados, a fim de garantir a segurança e privacidade de seus consumidores, como
também evitar possíveis sanções pela Autoridade Nacional.
 7

2. COMÉRCIO ELETRÔNICO ENTRE EMPRESÁRIO E CONSUMIDOR

2.1. DEFINIÇÃO

O comércio eletrônico entre empresário e consumidor é a junção de duas

expressões que em primeiro momento devem ser definidas separadamente a fim de
compreensão. Inicialmente, vamos analisar a definição de “comércio”.

Para Tarcísio Teixeira (2015), “o comércio pode ser visto como o conjunto de
trocas e compras e vendas objetivando ganhos e/ou satisfações”.

Conforme Alfredo Rocco, “comércio é aquele ramo da

produção econômica que faz aumentar o valor dos produtos
pela interposição entre produtores e consumidores, a fim de
facilitar a troca das mercadorias”. (ROCCO, 1931 apud
TEIXEIRA, 2015)
A origem do comércio está enraizada na história da própria humanidade,
sendo tão antiga quanto a existência dos seres humanos. Porém, o termo
“eletrônico”, é relativamente recente. Segundo o dicionário Michaelis (2020),
“eletrônico” é relativo à “eletrônica”, que consiste no “estudo das propriedades e
usos de dispositivos que dependem do movimento de elétrons em semicondutores,
no vácuo e nos gases”.

Nakamura (2011 apud ANDRADE; SILVA, 2017) entende que comércio

eletrônico “trata-se de todos os processos envolvidos da cadeia de valor realizada
num ambiente eletrônico, utilizando de ferramentas da tecnologia da informação e
de comunicação, tendo como principal objetivo atender as necessidades dos
negócios”.

O comércio eletrônico, portanto, pode ser considerado como o comércio

firmado por comunicação gerada por impulsos elétricos (BARBAGALO, 2001, apud
TEIXEIRA, 2015).
A modalidade trazida para estudo é a entre empresário e consumidor. O
modelo em questão, mais conhecido em inglês pela terminologia B2C (​Business to
Consumer)​ , define-se como:

A transação que envolva a comercialização de produtos, a

prestação de serviços ou o licenciamento de propriedade
intelectual a consumidores em geral realizadas por meio de
 8

troca eletrônica de dados é denominada de Business to

Consumer ou B2C. As transações B2C são normalmente
operadas em Portais de Comércio Eletrônico que ofertam, de
forma indiscriminada, produtos, serviços ou propriedade
intelectual a clientes que pretendam adquiri-los em caráter
final, assim retirando-os da circulação de natureza comercial.
(BRANCHER, 2017)
Assim, o comércio eletrônico entre empresário e consumidor é uma forma de
transação, seja compra, venda ou troca, de produtos, serviços ou licenciamento de
propriedade intelectual, disponibilizados em lojas e portais virtuais, realizada através
​ u ​smartphones.​
do uso de meios eletrônicos, como computadores, ​tablets o

2.2. HISTÓRICO

De viver em cavernas e sobreviver apenas através da caça, o ser humano

desenvolveu milhares de técnicas desde sua origem até a contemporaneidade. O
raciocínio e a capacidade de se organizar em sociedade fez com que evoluíssemos;
ao invés de caçar, passamos a cultivar; ao invés de fugir dos lobos, aprendemos a
treiná-los. Desenvolvemos novas técnicas de agricultura, criamos o conceito de
troca, de comércio, contabilidade, governo. Criamos desde locomotivas movidas a
carvão, a ​drones ​movidos à energia solar.

E, nessa imensidão de criações, o ser humano criou os computadores e a

Internet. Esses dois elementos, juntos, foram capazes de gerar todo um “mundo
paralelo” com o que vivemos. As pessoas poderiam se comunicar, enviar arquivos,
assistir filmes e jogar jogos através da internet, por meio de seus computadores.

Até que, em determinado momento, aproximadamente na década de 1990,

surgiu o comércio eletrônico. O comércio eletrônico, também chamado de
e-commerce, é, para Andrade e Silva (2017), consequência do aperfeiçoamento da
internet. Esse formato de comércio criou uma nova era no mundo dos negócios,
mudando para sempre a forma como realizamos até as mais simples transações.

Os negócios jurídicos transportaram-se para os computadores, como uma

consequência do avanço tecnológico. Essa expansão, portanto, veio de uma cadeia
de acontecimentos: as primeiras lojas que obtiveram sucesso chamaram atenção
das demais empresas, que perceberam as vantagens da ampliação para o digital,
 9

até que, em determinado momento, tornou-se indispensável para uma loja ter a
presença virtual. Arantes (2016) trás uma explicação sucinta a respeito:
Com o avanço acelerado da tecnologia, o acesso à internet é
cada vez maior, e o crescimento de usuários de e-commerce,
faz com que a partir de agora seja imprescindível à presença
das empresas na Web e comecem a pensar em investir no
comércio eletrônico para que tenham um novo canal de
vendas e possam ampliar seu alcance de público, vendas e
experiências. (ARANTES, 2016).
Schneider (2017) divide a história do e-commerce em três “ondas”. Dessa
forma, tracemos uma linha cronológica a respeito dessa modalidade de comércio:

● De 1995 até 2003: as primeiras lojas virtuais surgiram nos Estados

Unidos, por volta da metade da década de 1990, tendo como principais
exemplos a Amazon, em Julho de 1994, e o eBay, em Setembro de
1995 (SCHNEIDER, 2017); já no Brasil, uma das primeiras lojas
virtuais foi inaugurada também em 1995, a Booknet, posteriormente
tornou-se o Submarino (COSTA, 2016).
O que começou como algo desconhecido, ganhou um rápido impulso,
chamado de “boom da Internet”, que rapidamente gerou uma bolha
econômica (a “Bolha da Internet”). Entre 1997 e 2000, surgiram mais
de doze mil negócios relacionados com a web, com mais de cem
bilhões de dólares de investimento. Porém, com o aumento da taxa de
juros e diversos casos controversos na justiça americana (como a
Microsoft no tribunal federal), houve o estouro da bolha da Internet, o
que causou a falência de mais de cinco mil das empresas antes
citadas. Ainda assim, durante esse período, houve mais duzentos
bilhões de dólares investidos para tentar reerguer tais empresas ou
iniciar novas companhias digitais, o que foi considerado um
renascimento para o e-commerce e ditou o sucesso que se seguiria
nos anos seguintes (SCHNEIDER, 2017).

● De 2004 até 2009: A segunda onda expandiu o comércio eletrônico

para o resto do mundo. Nesse momento, as companhias iniciaram o
processo de transição, utilizando seus próprios fundos para iniciar e
expandir seus negócios digitais. O crescimento do e-commerce foi
 10

facilitado por dois fatores: o aumento de pessoas com acesso à

internet banda larga ao redor do mundo e a velocidade da internet e do
processamento dos computadores como um todo. Em 2004, nos
Estados Unidos, apenas 12% das casas possuíam internet; já em
2009, esse número aumentou para cerca de 70%. Países como a
Coréia do Sul subsidiaram o acesso à internet para seus cidadãos.
(SCHNEIDER, 2017).

Quanto à velocidade da internet doméstica em 2004 foi de 350 kbits/s

para 1773.5 kbits/s em 2008, um aumento aproximado de 506% (LEE,
2020).

Um ponto relevante da época foi a disponibilização legal de produtos

digitais como livros e músicas. No período inicial do e-commerce, as
editoras e distribuidoras não possuíam interesse em digitalizar suas
produções, o que acarretou no crescimento da pirataria digital. Por
conta disso, serviços como o iTunes, da Apple, surgiram, ampliando
ainda mais o leque de oportunidades para as empresas que se
aventurassem no mundo virtual. (SCHNEIDER, 2017).

No Brasil, o e-commerce faturou cerca de 0,7 bilhões de reais em

2004. Em 2009, esse valor subiu para 4,8 bilhões, um crescimento de
aproximadamente 685% em apenas cinco anos (EBIT, 2020).

● De 2010 ao momento atual: A terceira onda foi impactada por diversos

fatores: o surgimento dos smartphones e tablets, que mudaram a
cultura do uso da internet, tornando-a móvel, sendo capaz de fazer
praticamente tudo, desde ler livros e assistir filmes à checar seu saldo
bancário e gerenciar empresas, com a palma de sua mão; o aumento
exponencial do comércio eletrônico em países emergentes com
grandes populações, como a China, Índia e Brasil; a popularização das
redes sociais combinado com o marketing digital, e; o avanço das
tecnologias de rastreamento, gerenciamento e estatísticas dos
comércios e a complexa análise de dados que as companhias coletam
de seus consumidores, dentre outros fatores. (SCHNEIDER, 2017).
 11

Em 2010, o e-commerce nos Estados Unidos faturou

aproximadamente 170 bilhões de dólares; já em 2019, o faturamento
foi de cerca de 600 bilhões de dólares (YOUNG, 2019). No Brasil, no
mesmo período, o faturamento foi de 6,7 bilhões para 38,8 bilhões de
reais (EBIT, 2020).

Com isso, podemos compreender a razão pela qual o comércio eletrônico se

tornou tão relevante nos dias atuais. Com novas tecnologias e novas modalidades
de negócios surgindo, tornou-se necessário para o legislador brasileiro definir novas
leis e/ou adequar as leis existentes ao mundo virtual que se desenvolveu nas últimas
duas décadas.

2.3. LEGISLAÇÃO BRASILEIRA E O COMÉRCIO ELETRÔNICO

Uma série de leis brasileiras foram criadas ou acrescentadas para equilibrar

as relações de consumo através do e-commerce. Antes da criação de leis como a
Lei do E-Commerce, “​a aplicação do Código de Defesa do Consumidor a referidas
transações já estava consolidada no direito brasileiro, seja do ponto de vista
normativo, seja do ponto de vista da jurisprudência” (BRANCHER, 2017).

O Código de Defesa do Consumidor de 1990, o Código Civil de 2002, a Lei do

E-Commerce de 2013, o Marco Civil da Internet de 2014 e a Lei Geral de Proteção
de Dados de 2018 são as principais fontes do direito brasileiro interpretáveis para
tratar de assuntos relacionados ao comércio eletrônico, e serão abordadas nos
tópicos a seguir.

2.3.1. Código de Defesa do Consumidor e Lei do E-Commerce

O Código de Defesa do Consumidor (Lei nº 8.078/1990), unido com as

questões primordiais sobre contratos e negócios jurídicos do Código Civil (Lei nº
10.406, de 10 de Janeiro de 2002) amparam as relações de comércio e consumo.

Para as transações entre empresa e consumidor estudadas neste trabalho,

ambas as normativas foram capazes de resguardá-las com propriedade; afinal, a
proteção do consumidor, seus direitos básicos, a responsabilidade do fornecedor,
não deixaram de existir, apenas foram transportados para o ambiente digital.
 12

Vianna (2019) destaca o artigo 49, caput e parágrafo único, do Código de

Defesa do Consumidor, que dispõe sobre o direito de arrependimento, tema que de
certa forma previu a necessidade de proteção ao consumidor que realiza uma
transação sem estar presente para analisar fisicamente se o produto ou serviço que
adquiriu realmente está de acordo com o que pretendia obter:

Art. 49. O consumidor pode desistir do contrato, no prazo de 7

dias a contar de sua assinatura ou do ato de recebimento do
produto ou serviço, sempre que a contratação de fornecimento
de produtos e serviços ocorrer fora do estabelecimento
comercial, especialmente por telefone ou a domicílio.

Parágrafo único. Se o consumidor exercitar o direito de

arrependimento previsto neste artigo, os valores
eventualmente pagos, a qualquer título, durante o prazo de
reflexão, serão devolvidos, de imediato, monetariamente
atualizados.

Outro ponto fundamental a ser tratado é a proteção dos dados do

consumidor. No ano de 1990, quando o Código de Defesa do Consumidor foi
publicado, ainda não se tinha a concepção do comércio eletrônico. Dessa forma,
questões como proteção dos dados pessoais e privacidade não foram abordadas
pela lei. Em que pese o armazenamento de dados dos consumidores, há o Capítulo
V, a Seção VI (artigo 43 ao 44, da Lei nº 8.078/90), que aborda os banco de dados e
cadastros dos consumidores, entretanto, apenas regras amplas sem condições
específicas quanto a segurança ou privacidade.

Em 15 de Março de 2013 foi publicado o Decreto Federal nº 7.962, que

regulamenta a Lei nº 8.078, de 11 de setembro de 1990, para dispor sobre a
contratação no comércio eletrônico. O decreto ficou conhecido como “Lei do
E-Commerce”. Relacionada especificamente à modalidade do comércio eletrônico
“Business to consumer”,​ onde as empresas comercializam produtos ou serviços
diretamente para o consumidor (SCHNEIDER, 2017), a Lei do E-Commerce trata do
“dever de prestar ao consumidor informações claras a respeito do produto, serviço e
do fornecedor, atendimento facilitado ao consumidor e o exercício do direito de
arrependimento” (GOUVÊA NETO, 2018).

De acordo com Sobhie e Oliveira (2013), o decreto foi criado para atualizar o
ordenamento jurídico em face aos novos meios de consumo online, tanto de
 13

serviços quanto de produtos. A partir de então, os fornecedores precisaram se

adequar a uma série de normas, das quais vale a pena mencionar: a) o dever do
fornecedor de informar em seus sites sua razão social, CNPJ, endereço eletrônico e
físico (art. 2°, incisos I e II); b) todas as informações sobre os produtos ou serviços
oferecidos, de forma clara e objetiva (art. 2°, inciso III); c) discriminação de
quaisquer despesas adicionais ou acessórias, como entregas ou seguros, e
condições de ofertas bem definidas (art. 2°, incisos IV e V).

Nessa linha, o referido Decreto vem para contribuir de forma

expressa a garantir os direitos do consumidor no âmbito
virtual, uma vez que os fornecedores deverão manter serviço
adequado e eficaz de atendimento em meio eletrônico, que
possibilite ao consumidor a resolução de demandas referentes
à informação, dúvida,reclamação, suspensão ou cancelamento
do contrato (...). (SOBHIE; OLIVEIRA; 2013).

Cabe salientar que o decreto inovou ao impor sanções no caso da

inobservância das condutas exigidas. O artigo 7° da Lei do E-Commerce remete ao
artigo 56 do Código de Defesa do Consumidor, de tal forma:

Art. 7º A inobservância das condutas descritas neste Decreto

ensejará aplicação das sanções previstas no art. 56 da Lei nº
8.078, de 1990.

O referido artigo impõe as seguintes sanções:

Art. 56. As infrações das normas de defesa do consumidor

ficam sujeitas, conforme o caso, às seguintes sanções
administrativas, sem prejuízo das de natureza civil, penal e das
definidas em normas específicas:
I - multa;
II - apreensão do produto;
III - inutilização do produto;
IV - cassação do registro do produto junto ao órgão
competente;
V - proibição de fabricação do produto;
VI - suspensão de fornecimento de produtos ou serviço;
VII - suspensão temporária de atividade;
VIII - revogação de concessão ou permissão de uso;
IX - cassação de licença do estabelecimento ou de atividade;
X - interdição, total ou parcial, de estabelecimento, de obra ou
de atividade;
XI - intervenção administrativa;
XII - imposição de contrapropaganda.
Parágrafo único. As sanções previstas neste artigo serão
aplicadas pela autoridade administrativa, no âmbito de sua
atribuição, podendo ser aplicadas cumulativamente, inclusive
 14

por medida cautelar, antecedente ou incidente de

procedimento administrativo.

Entretanto, ainda que tais normas tenham buscado atualizar o ordenamento

jurídico em face do comércio eletrônico, nem todos concordam que o referido
Decreto tenha feito alterações à lei em si, como Sobhie e Oliveira (2013) destacam:
Apesar do plano ainda não ter trazido alterações concretas à
legislação atual, a expectativa é que ele venha aperfeiçoar e
tornar mais rígido e efetivo o cumprimento das normas
relativas à proteção e defesa do consumidor no país. Assim,
busca-se com a criação de novos diplomas legais dar maior
conforto e segurança ao consumidor na comercialização
eletrônica, por ser um local de manuseio técnico ainda não
totalmente dominado pela grande maioria dos que se dispõem
a utilizá-lo, além de garantir os direitos desses consumidores.
(SOBHIE; OLIVEIRA; 2013)

Assim, cada vez mais as relações do comércio eletrônico foram normalizadas

e recebidas com naturalidade pelo ordenamento jurídico brasileiro, até a próxima
grande alteração: o Marco Civil da Internet, debatido em sequência.

2.3.2. Marco Civil da Internet

Uma das normas brasileiras que afetam o comércio eletrônico, e todo o

ambiente digital brasileiro, é o Marco Civil da Internet (Lei 12.965, de 23 de abril de
2014). O Marco Civil estabelece “princípios, garantias, deveres e direitos para o uso
da rede mundial de computadores no Brasil, determinando, igualmente, as diretrizes
que poderão ser adotadas pelo Poder Público sobre este assunto” (ARAUJO, 2017).

Os fundamentos da normatização da internet foram justificados no art. 2° do

Marco Civil, que dispõe:

Art. 2º A disciplina do uso da internet no Brasil tem como

fundamento o respeito à liberdade de expressão, bem como:
I - o reconhecimento da escala mundial da rede;
II - os direitos humanos, o desenvolvimento da personalidade e
o exercício da cidadania em meios digitais;
III - a pluralidade e a diversidade;
IV - a abertura e a colaboração;
V - a livre iniciativa, a livre concorrência e a defesa do
consumidor; e
VI - a finalidade social da rede.
 15

Araújo (2017), explica que a Lei 12.965 veio para esclarecer determinados
aspectos do uso da Internet e das relações jurídicas concebidas dentro do ambiente
virtual que antes eram interpretadas de forma controversa, baseadas apenas no
Código Civil, Código de Defesa do Consumidor e as demais leis vigentes, gerando
uma estrutura legislativa mais precisa para o Poder Judiciário julgar decisões do
tema.

Especificamente em relação ao comércio eletrônico, o Marco Civil trouxe

declarações relevantes. Gouvêa Neto (2018) aponta, inicialmente, que:

Em muitos casos, os fornecedores de produtos e serviços

online também são provedores de aplicação de internet, sendo
o Marco Civil ​(...)​, aplicável à atividade, bem como os artigos
11 à 16 do Decreto n.º 8.771/16, que regulamenta o Marco
Civil da Internet e trata nestes artigos especificamente de
obrigações relacionadas com a proteção dos registros, dados
pessoais e da comunicação eletrônica. (GOUVÊA NETO,
2018).
O Capítulo II - Dos Direitos e Garantias dos Usuários, em especial o artigo 7°,
trazem normas a respeito do direito dos usuários com relação aos seus dados,
matéria que afeta diretamente o comércio eletrônico, uma vez que em uma relação
de consumo o vendedor ou fornecedor coleta dados como nome, gênero, endereço,
registro geral, dentre outros dados, que devem ser guardados com segurança. A
partir desta atualização legislativa, passou a ser dever do fornecedor apresentar os
motivos pelo qual faz a coleta de tais dados e permitir a exclusão dos mesmos, se o
usuário assim desejar.

Art. 7º O acesso à internet é essencial ao exercício da

cidadania, e ao usuário são assegurados os seguintes direitos:
I - inviolabilidade da intimidade e da vida privada, sua proteção
e indenização pelo dano material ou moral decorrente de sua
violação;
II - inviolabilidade e sigilo do fluxo de suas comunicações pela
internet, salvo por ordem judicial, na forma da lei;
III - inviolabilidade e sigilo de suas comunicações privadas
armazenadas, salvo por ordem judicial;
(...)
VI - informações claras e completas constantes dos contratos
de prestação de serviços, com detalhamento sobre o regime
de proteção aos registros de conexão e aos registros de
acesso a aplicações de internet, bem como sobre práticas de
gerenciamento da rede que possam afetar sua qualidade;
 16

VII - não fornecimento a terceiros de seus dados pessoais,

inclusive registros de conexão, e de acesso a aplicações de
internet, salvo mediante consentimento livre, expresso e
informado ou nas hipóteses previstas em lei;
VIII - informações claras e completas sobre coleta, uso,
armazenamento, tratamento e proteção de seus dados
pessoais, que somente poderão ser utilizados para finalidades
que:
a) justifiquem sua coleta;
b) não sejam vedadas pela legislação; e
c) estejam especificadas nos contratos de prestação de
serviços ou em termos de uso de aplicações de internet;
IX - consentimento expresso sobre coleta, uso,
armazenamento e tratamento de dados pessoais, que deverá
ocorrer de forma destacada das demais cláusulas contratuais;
X - exclusão definitiva dos dados pessoais que tiver fornecido
a determinada aplicação de internet, a seu requerimento, ao
término da relação entre as partes, ressalvadas as hipóteses
de guarda obrigatória de registros previstas nesta Lei;
XI - publicidade e clareza de eventuais políticas de uso dos
provedores de conexão à internet e de aplicações de internet;
(...)

Outro ponto relevante deste capítulo é o inciso XIII do artigo 7º, assegura aos
usuários a aplicação das normas de proteção e defesa do consumidor nas relações
de consumo realizadas na internet, algo que já estava estabelecido na jurisprudência
e pela Lei do E-Commerce, mas que se concretizou com o Marco Civil.

Por fim, Blum (2018) destaca os artigos 11, 15 e 16, que tratam sobre
operações de movimentação de dados pessoais (coleta, armazenamento, etc).
Entretanto, tais normativas contornam especificamente a questão das provedoras de
internet do que do comércio eletrônico em si. Em razão disso e da ausência de uma
normativa especializada no tratamento de dados pessoais, foi criada a Lei Geral de
Proteção de Dados, tratada especialmente a seguir.
 17

3. LEI GERAL DE PROTEÇÃO DE DADOS

3.1. HISTÓRICO

Os seres humanos são os únicos seres capazes de manter registros a

respeito de si mesmo e a respeito do mundo ao seu redor de forma extremamente
organizada. Ao longo dos séculos, dezenas de milhares tipos diferentes de
informações foram registradas em argila, papiro, livros contábeis e cartões
perfurados, até o fim do século XX e início do século XXI, com o avanço tecnológico
impulsionado pela Revolução Industrial e pela Revolução Científica, pautando o
surgimento dos computadores e da internet.

Ainda que grande parte das informações armazenadas pelos seres humanos
seja no papel, a tendência é que cada vez mais todo tipo de conteúdo existente seja
informatizado e transportado para os grandes bancos de dados e para o
armazenamento em nuvem.

Nesse sentido, o desenvolvimento da sociedade acarretou na criação de

novos paradigmas nunca antes vistos. Com a democratização do uso da internet,
qualquer pessoa pode ter acesso a determinados dados, mesmo estando do outro
lado do mundo e sem conhecer o proprietário dos dados em questão. E então
surgiram diversas questões e polêmicas. Quem tem direito de acesso aos dados que
colocamos na internet? Como esses dados podem ser usados? Essas informações
podem ser apagadas?

Para os usuários e consumidores, a questão da proteção de dados se tornou

cada vez mais relevante, afinal, suas informações pessoais muitas vezes eram
mantidas pela empresa, comercializadas para outras companhias, e usadas para
marketing, por exemplo. Até então, não existia qualquer normativa que fornecesse
um método operacional de como se tratar dados pessoais, nem sanções a respeito
do uso de dados dos clientes.

Essa situação piorou ao longo dos anos, quando diversos casos de

vazamento de dados se tornaram públicos, sendo o maior e mais comentado deles o
caso da Cambridge Analytica.
 18

Aleksandr Kogan, professor de Cambridge, desenvolveu um teste psicológico

com o mesmo nome da universidade em parceria com a Global Science Research
para coletar dados pessoais de usuários da rede social Facebook. O usuário
realizava o teste utilizando um aplicativo conectado ao Facebook e então não
apenas seus dados, mas os dados de todas as pessoas em sua lista de conexões
dentro da rede social também eram coletados; a brecha em questão estava nos
termos e condições da rede social, que nada falava sobre a coleta e comercialização
realizada por terceiros. (ENCRIPT, 2019).

A problemática nesse caso foi que, no ano de 2016, os dados (nome, email,
endereço, hábitos na internet, gostos pessoais como preferência política, etc),
coletados pela Global Science Research foram vendidos para a Cambridge
Analytica, empresa contratada por Donald Trump para utilização em sua campanha
eleitoral do mesmo ano, direcionando publicidade massiva para os usuários do
Facebook em prol de convencer seu eleitorado (ENCRIPT, 2019), o que funcionou,
visto que Donald Trump, mesmo depois de todas as pesquisas previsões políticas
dizendo o contrário, venceu as eleições presidenciais (G1, 2016).

Em outro caso emblemático, a Cambridge Analytica comercializou

informações com um dos grupos que promovia o Brexit (a saída do Reino Unido da
União Europeia). A polêmica foi tamanha que o presidente do Facebook, Mark
Zuckerberg, teve que depor durante cinco horas ao Senado norte-americano a
respeito da regulação, uso de dados de usuários e como a empresa reagiu ao
escândalo da Cambridge Analytica (G1, 2018).

Ambos os casos são debatidos e analisados por diversas reportagens e

programas televisivos, o principal deles sendo o documentário “Privacidade
​ etflix.
Hackeada”, produzido e disponibilizado pelo serviço de ​streaming N

Por conta desses e outros casos, era urgente que uma legislação que
protegesse os dados das pessoas fosse aprovada.

Em 14 de Agosto de 2018 foi publicada a Lei Geral de Proteção de Dados, ou

LGPD (Lei nº 13.709), que solidificou a tutela dos direitos fundamentais de liberdade
 19

e de privacidade nos termos em que se relacionam os dados sensíveis da pessoa

natural, sua manipulação e formas de armazenamento no geral, no Brasil.

A lei foi sancionada em 17 de Setembro de 2020, passando a valer no dia

seguinte; as sanções para as empresas que não cumprirem a lei, porém, foram
adiadas para Agosto de 2021, uma vez que a Autoridade Nacional de Proteção de
Dados (ANPD), criada pela própria LGPD, ainda não foi criada.

Como amplamente difundido, a lei teve como maior referência a General Data
Protection Regulation (Regulamento Geral sobre a Proteção de Dados), uma
regulação a respeito de proteção de dados e privacidade que abrange todo território
da União Europeia e sua área econômica, criada “com o objetivo de abordar a
proteção das pessoas físicas no que diz respeito ao tratamento de dados pessoais e
à livre circulação desses dados, conhecido pela expressão ‘free data flow’”
(PINHEIRO, 2018).

A lei europeia norteou a LGPD; analisemos os objetivos da GDPR, pelo grifo

de Pinheiro (2018):

Segundo o preâmbulo (2) e (13) do GDPR, o regulamento tem

como objetivo: a) contribuir para a realização de um espaço de
liberdade, segurança e justiça e de uma união econômica,
para o progresso econômico e social, a consolidação e a
convergência das economias no nível do mercado interno e
para o bem-estar das pessoas físicas; b) assegurar um nível
coerente de proteção das pessoas físicas no âmbito da União
e evitar que as divergências constituam um obstáculo à livre
circulação de dados pessoais no mercado interno; c) garantir a
segurança jurídica e a transparência aos envolvidos no
tratamento de dados pessoais, aos órgãos públicos e à
sociedade como um todo; d) impor obrigações e
responsabilidades iguais aos controladores e processadores,
que assegurem um controle coerente do tratamento dos dados
pessoais; e) possibilitar uma cooperação efetiva entre as
autoridades de controle dos diferentes Estados-Membros.
(PINHEIRO, 2018)
Em termos de comparação, dispõe o artigo 2° da Lei Geral de Proteção de
Dados:

Art. 2º A disciplina da proteção de dados pessoais tem como

fundamentos:
I - o respeito à privacidade;
II - a autodeterminação informativa;
 20

III - a liberdade de expressão, de informação, de comunicação

e de opinião;
IV - a inviolabilidade da intimidade, da honra e da imagem;
V - o desenvolvimento econômico e tecnológico e a inovação;
VI - a livre iniciativa, a livre concorrência e a defesa do
consumidor; e
VII - os direitos humanos, o livre desenvolvimento da
personalidade, a dignidade e o exercício da cidadania pelas
pessoas naturais.

A normativa brasileira bebeu da fonte europeia, porém, é uma versão mais

sucinta e, de acordo com Pinheiro (2018), “deixou margem para interpretação mais
ampla, trazendo alguns pontos de insegurança jurídica por permitir espaço para
subjetividade onde deveria ter sido mais assertiva”.

Destaca-se que a referida lei não dispõe apenas dos dados virtuais, pelo
contrário, ela aborda tanto a proteção dos dados armazenados em ambiente físico,
como em ambiente digital, conforme exposto em seu artigo 1°:

Art. 1º Esta Lei dispõe sobre o tratamento de dados pessoais,

inclusive nos meios digitais, por pessoa natural ou por pessoa
jurídica de direito público ou privado, com o objetivo de
proteger os direitos fundamentais de liberdade e de
privacidade e o livre desenvolvimento da personalidade da
pessoa natural.
Em um panorama geral, devemos analisar que a proteção de dados está
diretamente conectada com o direito de privacidade individual previsto pela
Constituição Federal de 1988, que torna a intimidade, a vida privada, a honra e a
imagem das pessoas, inviolável. Dispõe o artigo 5°, inciso X, da Carta Magna:

Art. 5º Todos são iguais perante a lei, sem distinção de

qualquer natureza, garantindo-se aos brasileiros e aos
estrangeiros residentes no País a inviolabilidade do direito à
vida, à liberdade, à igualdade, à segurança e à propriedade,
nos termos seguintes:
X - são invioláveis a intimidade, a vida privada, a honra e a
imagem das pessoas, assegurado o direito a indenização pelo
dano material ou moral decorrente de sua violação;
Esse amálgama conceitual consiste na proteção da privacidade individual.
Ainda que haja a ausência do exato termo “privacidade” na lei, a doutrina assume
que é o conjunto de concepções que torna o termo implícito no texto.
 21

Em que pese a diversidade conceitual desses termos, pode-se

deduzir que todos compõem uma esfera de proteção do
indivíduo. A privacidade parece ser a mais ampla proteção, o
limite da esfera protetiva, uma vez que se mostra como uma
margem que o indivíduo dispõe para filtrar o que deseja tornar
público a todos. Isto é, a pessoa detém um conjunto de
informações, imagens, vídeos, atitudes suas que somente a
ela cabe decidir se as demais pessoas possam a elas ter
acesso. Uma vez acessadas, sem a permissão do titular,
tem-se a violação da privacidade. (QUINTINO, 2018).
A criação da normativa gerou reações tanto positivas quanto negativas. Em
uma visão positiva, a LGPD é considerada um avanço que inclui o Brasil na lista de
países que possui uma lei específica para a proteção de dados, sendo uma forma de
fomentar o comércio exterior pela transparência estabelecida na questão de
tratamento de dados. Além disso, traz ao grande público o debate sobre a proteção
de informações, matéria que toda a população deve tomar conhecimento, tanto para
ter noção de sua própria privacidade, como para compreender possíveis situações
onde suas informações estão em risco; e, por fim, mas não menos importante,
garante é um marco extremamente importante para garantir o direito à privacidade.
(SELEME, 2019).

Do ponto de vista negativo, a LGPD trouxe consequências operacionais

extremamente custosas para as empresas brasileiras. Gomes Júnior (2020), estima
que as adaptações para que uma empresa de médio porte esteja de acordo com a
nova normativa seja de, em média, R$ 500.000,00 (quinhentos mil reais). Segundo o
jurista, 60% das empresas ainda não realizaram as mudanças de forma integral e,
para Marinho (2020), nem irão. Ademais, a lei sofreu uma série de adiamentos e
antecipações, para que, no fim, tenha sido sancionada de forma brusca e
controversa, atrapalhando ainda mais a organização das empresas que quiserem
aplicá-la. Ainda, por mais que a LGPD esteja em vigor, as penalidades para as
empresas que a descumprirem só serão aplicadas em Agosto de 2021, caso que
gerou insegurança jurídica. (GOMES JÚNIOR, 2020)

Outro fator determinístico foi a pandemia do coronavírus COVID-19, que

aplacou o mundo inteiro, gerando a queda das receitas e risco de continuidade
operacional da maioria das pequenas e médias empresas por conta da necessidade
de distanciamento social, quarentena e ​lockdown. ​Uma vez que a receita das
 22

empresas diminuiu até mesmo para conseguirem se manter, muitas não teriam
recursos para investir na aplicação da LGPD (GOMES JÚNIOR, 2020).

Tratado o contexto histórico ao redor da lei de dados, analisaremos seus

conceitos, princípios e suas mudanças relevantes ao comércio eletrônico.

3.2. CONCEITOS E PRINCÍPIOS

A Lei Geral de Proteção de Dados traz uma série de conceitos e
terminologias novas ao âmbito jurídico. O legislador se preocupou em explicar cada
um deles no artigo 5°, que contém dezenove incisos. Pinheiro (2018) destaca os
termos principais, todos decorrente do mesmo artigo:

• Titular: Pessoa a quem se referem os dados pessoais que são objeto

de algum tratamento (inciso V);

• Tratamento dos dados: Toda operação realizada com algum tipo de

manuseio de dados pessoais: coleta, produção, recepção,
classificação, utilização, acesso, reprodução, transmissão, distribuição,
processamento, arquivamento, armazenamento, edição, eliminação,
avaliação ou controle da informação, modificação, comunicação,
transferência, difusão ou extração (inciso X);

• Dado pessoal: Toda informação relacionada a uma pessoa

identificada ou identificável, não se limitando, portanto, a nome,
sobrenome, apelido, idade, endereço residencial ou eletrônico,
podendo incluir dados de localização, placas de automóvel, perfis de
compras, número do Internet Protocol (IP), dados acadêmicos,
histórico de compras, entre outros. Sempre relacionados à pessoa
natural viva (inciso I);

• Dado pessoal sensível: São dados que estejam relacionados a

características da personalidade do indivíduo e suas escolhas
pessoais, tais como origem racial ou étnica, convicção religiosa,
opinião política, filiação a sindicato ou a organização de caráter
religioso, filosófico ou político, dado referente a saúde ou a vida sexual,
 23

dado genético ou biométrico, quando vinculado a uma pessoa natural

(inciso II);

• Dados anonimizados: São os dados relativos a um titular que não

possa ser identificado, considerando a utilização de meios técnicos
razoáveis e disponíveis na ocasião do seu tratamento (inciso III);

• Anonimização: Utilização de meios técnicos razoáveis e disponíveis

no momento do tratamento, por meio dos quais um dado perde a
possibilidade de associação, direta ou indireta, a um indivíduo (inciso
XI);

• Consentimento: Manifestação livre, informada e inequívoca pela qual

o titular concorda com o tratamento de seus dados pessoais para uma
finalidade determinada. Não é o único motivo que autoriza o tratamento
de dados, mas apenas uma das hipóteses (inciso XII);

• Agentes de tratamento: O controlador que recepciona os dados

pessoais dos titulares de dados por meio do consentimento ou por
hipóteses de exceção, e o operador que realiza algum tratamento de
dados pessoais motivado por contrato ou obrigação legal (inciso IX);

• Encarregado: Pessoa natural, indicada pelo controlador, que atua

como canal de comunicação entre o controlador e os titulares e a
autoridade nacional (inciso VIII);

• Transferência internacional de dados: Transferência de dados

pessoais para país estrangeiro ou organismo internacional do qual o
país seja membro (inciso XV).

Uma vez esclarecidos tais termos, seguimos para os fundamentos e

princípios da LGPD. Como explicado anteriormente, a normativa dispõe seus
fundamentos em seu artigo 2°. Os princípios norteadores do tratamento de dados,
além da boa-fé, são definidos no artigo 6°:

Art. 6º As atividades de tratamento de dados pessoais deverão

observar a boa-fé e os seguintes princípios:
 24

I - finalidade: realização do tratamento para propósitos

legítimos, específicos, explícitos e informados ao titular, sem
possibilidade de tratamento posterior de forma incompatível
com essas finalidades;
II - adequação: compatibilidade do tratamento com as
finalidades informadas ao titular, de acordo com o contexto do
tratamento;
III - necessidade: limitação do tratamento ao mínimo
necessário para a realização de suas finalidades, com
abrangência dos dados pertinentes, proporcionais e não
excessivos em relação às finalidades do tratamento de dados;
IV - livre acesso: garantia, aos titulares, de consulta facilitada e
gratuita sobre a forma e a duração do tratamento, bem como
sobre a integralidade de seus dados pessoais;
V - qualidade dos dados: garantia, aos titulares, de exatidão,
clareza, relevância e atualização dos dados, de acordo com a
necessidade e para o cumprimento da finalidade de seu
tratamento;
VI - transparência: garantia, aos titulares, de informações
claras, precisas e facilmente acessíveis sobre a realização do
tratamento e os respectivos agentes de tratamento,
observados os segredos comercial e industrial;
VII - segurança: utilização de medidas técnicas e
administrativas aptas a proteger os dados pessoais de
acessos não autorizados e de situações acidentais ou ilícitas
de destruição, perda, alteração, comunicação ou difusão;
VIII - prevenção: adoção de medidas para prevenir a
ocorrência de danos em virtude do tratamento de dados
pessoais;
IX - não discriminação: impossibilidade de realização do
tratamento para fins discriminatórios ilícitos ou abusivos;
X - responsabilização e prestação de contas: demonstração,
pelo agente, da adoção de medidas eficazes e capazes de
comprovar a observância e o cumprimento das normas de
proteção de dados pessoais e, inclusive, da eficácia dessas
medidas.

Pinheiro (2018) lembra que o princípio basilar do tratamento de dados é o

consentimento do titular, ainda que haja exceções (encontradas no artigo 7° da
LGPD), onde o tratamento pode ocorrer sem tal consentimento expresso, como
destaca a autora:
• para o cumprimento de obrigação legal ou regulatória pelo
controlador;
• quando necessário à execução de contrato ou de
procedimentos preliminares relacionados a contrato do qual
seja parte o titular, a pedido do titular dos dados;
• para o exercício regular de direitos em processo judicial,
administrativo ou arbitral;
• para a proteção da vida do titular ou de terceiro;
 25

• quando necessário para atender aos interesses legítimos do

controlador ou de terceiro;
• para a proteção do crédito, inclusive quanto ao disposto na
legislação pertinente. (PINHEIRO, 2018)

3.3. DIREITOS DOS TITULARES DE DADOS

Uma questão de extrema relevância trazida pela LGPD foram os Direitos dos
Titulares de Dado; a matéria possui um capítulo inteiro em sua abordagem. Sob a
visão de Pinheiro (2018) a função desse trecho “é garantir que o titular possa
assegurar que seus dados estão sendo tratados de forma segura, verídica e
cumprindo a sua finalidade”.

Em uma relação de comércio eletrônico, o titular de dados é o consumidor; do

ponto de vista da empresa, portanto, deve-se compreender quais direitos esse
consumidor passa a ter, além daqueles garantidos pelo CDC. O artigo 18 da LGPD
dispõe:

Art. 18. O titular dos dados pessoais tem direito a obter do

controlador, em relação aos dados do titular por ele tratados, a
qualquer momento e mediante requisição:
I - confirmação da existência de tratamento;
II - acesso aos dados;
III - correção de dados incompletos, inexatos ou
desatualizados;
IV - anonimização, bloqueio ou eliminação de dados
desnecessários, excessivos ou tratados em desconformidade
com o disposto nesta Lei;
V - portabilidade dos dados a outro fornecedor de serviço ou
produto, mediante requisição expressa, de acordo com a
regulamentação da autoridade nacional, observados os
segredos comercial e industrial;
VI - eliminação dos dados pessoais tratados com o
consentimento do titular, exceto nas hipóteses previstas no art.
16 desta Lei;
VII - informação das entidades públicas e privadas com as
quais o controlador realizou uso compartilhado de dados;
VIII - informação sobre a possibilidade de não fornecer
consentimento e sobre as consequências da negativa;
IX - revogação do consentimento, nos termos do § 5º do art. 8º
desta Lei.

Desse modo, a empresa deve possuir uma forma de garantir o cumprimento

desses direitos sem qualquer dificuldade, uma vez que a ausência (e outros fatores)
deles pode causar diversas sanções, como visto a seguir.
 26

3.4. SANÇÕES
A seção que mais gerou discussões no âmbito jurídico foi a de sanções. O
principal motivo dessas discussões foi o inciso II do artigo 52, da LGPD, onde o
agente de tratamento de dados pode ser multado em até 2% do faturamento da
pessoa jurídica, no limite de 50 milhões de reais, por infração. O alto valor limite, no
entanto, deve ser analisado: afinal, ele só será atingido se esses 2% do faturamento
forem acima disso.

Braz (2020) afirma que a maior parte das empresas não precisa se preocupar
com as multas no valor limite, afinal, para que a multa chegue a 50 milhões, a
empresa deve faturar, pelo menos, dois bilhões e quinhentos mil reais. O jurista
ainda destaca que as sanções mais severas que a multa estão ao decorrer do artigo:

Art. 52. Os agentes de tratamento de dados, em razão das

infrações cometidas às normas previstas nesta Lei, ficam
sujeitos às seguintes sanções administrativas aplicáveis pela
autoridade nacional:
I - advertência, com indicação de prazo para adoção de
medidas corretivas;
II - multa simples, de até 2% (dois por cento) do faturamento
da pessoa jurídica de direito privado, grupo ou conglomerado
no Brasil no seu último exercício, excluídos os tributos,
limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de
reais) por infração;
III - multa diária, observado o limite total a que se refere o
inciso II;
IV - publicização da infração após devidamente apurada e
confirmada a sua ocorrência;
V - bloqueio dos dados pessoais a que se refere a infração até
a sua regularização;
VI - eliminação dos dados pessoais a que se refere a infração;
X - suspensão parcial do funcionamento do banco de dados a
que se refere a infração pelo período máximo de 6 (seis)
meses, prorrogável por igual período, até a regularização da
atividade de tratamento pelo controlador;
XI - suspensão do exercício da atividade de tratamento dos
dados pessoais a que se refere a infração pelo período
máximo de 6 (seis) meses, prorrogável por igual período;
XII - proibição parcial ou total do exercício de atividades
relacionadas a tratamento de dados.

As sanções monetárias são tratadas apenas nos incisos II e III. Enquanto

isso, o que a pessoa jurídica pode sofrer pelas demais sanções, para Braz (2020), é
bem mais grave. O artigo IV, que trata da publicização da infração, afeta diretamente
“o capital reputacional” da empresa, fazendo com que atuais e futuros consumidores
 27

tenham conhecimento de que aquela empresa possui infrações; o inciso X, XI e XII,

por sua vez, são bloqueios diretos ao banco de dados da empresa em si, o que
podem acarretar na interrupção das atividades de um comércio eletrônico, que
utiliza-se do banco de dados para funcionar, gerando mais prejuízos do que uma
possível multa.
As sanções, por sua vez, devem ser aplicadas pela Autoridade Nacional,
entretanto, no presente momento (segundo semestre de 2020) ainda não existe, de
forma que as sanções foram adiadas para Agosto de 2021.

3.5. AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS

A Autoridade Nacional de Proteção de Dados, ou ANPD, é o órgão criado

pela LGPD responsável pela fiscalização, sanção e cumprimento da lei em si. Sua
criação pode ser encontrada no Capítulo IX, Seção I, da LGPD, que, além de criar,
determina sua composição, organização interna dos membros e suas competências.
Cabe destacá-las, de acordo com o artigo 55-J:
Art. 55-J. Compete à ANPD:
I - zelar pela proteção dos dados pessoais, nos termos da
legislação;
II - zelar pela observância dos segredos comercial e industrial,
observada a proteção de dados pessoais e do sigilo das
informações quando protegido por lei ou quando a quebra do
sigilo violar os fundamentos do art. 2º desta Lei;
(...)
IV - fiscalizar e aplicar sanções em caso de tratamento de
dados realizado em descumprimento à legislação, mediante
processo administrativo que assegure o contraditório, a ampla
defesa e o direito de recurso;
(...)
VI - promover na população o conhecimento das normas e das
políticas públicas sobre proteção de dados pessoais e das
medidas de segurança;
(...)
XI - solicitar, a qualquer momento, às entidades do poder
público que realizem operações de tratamento de dados
pessoais informe específico sobre o âmbito, a natureza dos
dados e os demais detalhes do tratamento realizado, com a
possibilidade de emitir parecer técnico complementar para
garantir o cumprimento desta Lei;
(...)
XVI - realizar auditorias, ou determinar sua realização, no
âmbito da atividade de fiscalização de que trata o inciso IV e
com a devida observância do disposto no inciso II do caput
 28

deste artigo, sobre o tratamento de dados pessoais efetuado

pelos agentes de tratamento, incluído o poder público;
(...)
XVIII - editar normas, orientações e procedimentos
simplificados e diferenciados, inclusive quanto aos prazos,
para que microempresas e empresas de pequeno porte, bem
como iniciativas empresariais de caráter incremental ou
disruptivo que se autodeclarem startups ou empresas de
inovação, possam adequar-se a esta Lei;
(...)
XXI - comunicar às autoridades competentes as infrações
penais das quais tiver conhecimento;
XXII - comunicar aos órgãos de controle interno o
descumprimento do disposto nesta Lei por órgãos e entidades
da administração pública federal;
XXIII - articular-se com as autoridades reguladoras públicas
para exercer suas competências em setores específicos de
atividades econômicas e governamentais sujeitas à regulação;
e
XXIV - implementar mecanismos simplificados, inclusive por
meio eletrônico, para o registro de reclamações sobre o
tratamento de dados pessoais em desconformidade com esta
Lei.

A ANPD, portanto, é o órgão principal para fiscalizar, editar e assegurar que a

LGPD seja cumprida. É ela que recebe denúncias sobre vazamento de dados, ela
que aplica as sanções e define os valores das multas. Não apenas isso, tem a
função de divulgar e conscientizar a sociedade sobre o que se trata a LGPD em si.
Ainda que a LGPD tenha sido publicada em 2018, a criação da Autoridade
Nacional de Proteção de Dados foi autorizada apenas em Agosto de 2020, após dois
anos de atraso, tendo 36 cargos, sendo 16 em comissão remanejados e 20 funções
comissionadas do Poder Executivo. A notícia de sua aprovação foi recebida pelos
juristas com um “finalmente” (CONJUR, 2020); como discorrido até então, a LGPD é
de extrema importância para assegurar a privacidade e o correto tratamento de
dados e, sem a ANPD, órgão que a fiscaliza e a faz ser cumprida, a normativa acaba
por não ser totalmente eficaz.
Por ainda não possuirmos um órgão dessa natureza no Brasil, devemos
buscar referências internacionais para compreender sua importância. Na União
Européia, berço da GDPR, lei de proteção de dados que inspirou a LGPD, foram
reportados mais de 160 mil notificações de vazamento de dados por todos os 28
Estados membros do bloco comercial, somando cerca de 114 milhões de euros em
multas por conta de infrações à lei (DIGINOMICA, 2020).
 29

Dessa forma, a aplicação da LGPD e a estruturação da Autoridade Nacional é

necessária com certa urgência, uma vez que, enquanto o órgão não estiver em
pleno funcionamento, notificações de vazamentos de dados serão tratados pela
justiça comum, ou deixados de lado pelas vítimas dos vazamentos, prejudicando
ainda mais aqueles que sofreram com tal fato.
Portanto, ainda que existam dificuldades operacionais, como apontado
anteriormente, as empresas devem se reorganizar para implementar políticas de
tratamento de dados e assegurar os direitos de seus consumidores (e o
cumprimento da lei). A seguir, iremos analisar de que forma o comércio eletrônico
pode adequar-se à LGPD.
 30

4. IMPLEMENTAÇÃO DA LGPD
Desde sua origem, a Lei Geral de Proteção de Dados levantou discussões
tanto na área jurídica quanto na área empresarial; Marinho (2020) cita que muitos
empresários desenvolveram um medo por conta do desconhecido, temendo suas
penalidades. O jurista discorda desse temor e acredita que estar em conformidade
com a lei é mais simples do que parece, ainda que seja um procedimento
trabalhoso. Braz (2020) segue o mesmo pensamento.
Há diversos fatores necessários para que as empresas estejam de acordo
com a LGPD. Os conceitos e fundamentos da lei devem ser estudados e
compreendidos, para que então sejam aplicados no fluxo operacional da companhia.
Patrícia Pinheiro (2018) aponta, em geral, quais são as tarefas necessárias para a
adaptação:
Atender aos requisitos da LGPD exige adequação dos
processos de governança corporativa, com implementação de
um programa mais consistente de compliance digital, o que
demanda investimento, atualização de ferramentas de
segurança de dados, revisão documental, melhoria de
procedimentos e fluxos internos e externos de dados pessoais,
com aplicação de mecanismos de controle e trilhas de
auditoria e, acima de tudo, mudança de cultura. (PINHEIRO,
2018).

Devemos analisar, também, que nem todas as empresas possuem a

necessidade de movimentar muitos recursos para a realização das mudanças.
Pinheiro (2018) explica que adequações dependem do ramo do negócio, da
empresa, da maturidade da governança; explica, ainda, que para algumas empresas
é fundamental um programa de compliance digital.

Uma vez que o tratamento de dados gira em torno do consentimento do

titular, um dos primeiros detalhes que as empresas devem se ater é se seus
consumidores deram o devido consentimento para que seus dados tenham sido
coletados e, ainda, que eles saibam os motivos pelo qual estão sendo coletados e
se esses motivos estão de acordo com a lei. Daniel Donda (2020), define os passos
que as empresas podem seguir para implementar a normativa:

● criar um comitê (governança) para análise e tomada de

decisão;
● designar um DPO (oficial de proteção de dados);
● mapear e entender o ciclo de vida dos dados;
 31

● adotar regulamentações e padrões de segurança da

informação;
● auditar e monitorar o ambiente;
● criar um relatório de impacto à proteção de dados
pessoais;
● criar um plano de ação para situações de emergência.

Tais procedimentos são aplicáveis a empresas em funcionamento, além

disso, não são necessariamente obrigatórios. Diversos juristas apresentam novas
maneiras, novos métodos e procedimentos dos quais as empresas podem executar
para entrarem em harmonia com a LGPD. Antes mesmo da publicação da normativa
sobre dados, Matsuda (2017), defende que, para a efetiva proteção de dados do
consumidor, o fornecedor de produto e serviço deve armazenar todo negócio jurídico
realizado eletronicamente em arquivos de ​log​, trilhas de auditoria contendo as
informações a respeito do negócio formado, possuindo um prazo de até 10 (dez)
anos de armazenamento e que tal ​log ​seja enviado ao consumidor.

Por fim, Pinheiro (2018) ressalta que todos os empreendimentos que

entrarem em operação, ou estão em andamento, após o vigor da LGPD já devem
ser iniciados ou alterados com a premissa do “​privacy by design”​ , em tradução livre,
“privacidade a partir do projeto”, onde desde o início, desde sua projeção “no papel”,
os projetos de negócios já sejam estruturados para proteger e garantir a privacidade
de seus consumidores.
 32

5. CONSIDERAÇÕES FINAIS
Por todo o exposto, podemos compreender que a Lei Geral de Proteção de
Dados é, sem dúvida, o ponto de partida para incontáveis mudanças na questão da
privacidade. Pelos acontecimentos gerados a partir da lei de dados europeia, a
GDPR, a quantidade de multas e notificações de irregularidades foi impactante,
causando milhões de euros em multas e, no Brasil, a propensão é de que o cenário
seja similar.

No que tange a aplicação da lei, seja sua fiscalização, seja no cumprimento

de suas sanções, a estruturação da Autoridade Nacional de Proteção de Dados para
que o órgão esteja em pleno funcionamento é urgente. Muitos juristas consideram
esse atraso inaceitável, entretanto, por conta da epidemia do coronavírus COVID-19,
a discussão conteve-se, uma vez que o mundo todo parou para se adequar às
regras que ninguém esperava: as regras impostas pelo vírus. A necessidade de
distanciamento social certamente favoreceu o atraso na estruturação do órgão.

Assim, as empresas devem se aproveitar desse “tempo extra” que possuem

para entrar em conformidade com a lei o mais rápido possível, afinal, ela já está em
vigor e já foi inaugurada pelo judiciário brasileiro. Decerto que, através das
pesquisas realizadas para o desenvolvimento desta monografia, é notável a
quantidade de conteúdo criado para nortear e auxiliar as empresas, o que pode ser
tomado como um fator positivo.

Com as organizações sociais lentamente retornando as atividades,

receberemos mais detalhes e novidades a respeito da ANPD e seus organizadores.
A partir de então, com o pleno funcionamento da Autoridade Nacional, a expectativa
é de que sejam propostas medidas que garantirão a conscientização e a proteção
dos dados pessoais da sociedade brasileira, cumprindo os fundamentos da lei e
reafirmando o direito à privacidade esculpido pela nossa Carta Magna.
 33

REFERÊNCIAS BIBLIOGRÁFICAS

ANDRADE, M. C.; SILVA, N. G. ​O Comércio Eletrônico (E-Commerce): Um

Estudo Com Consumidores. Perspectivas em Gestão & Conhecimento, v. 7, n. 1,
p. 98-111, 30 jun. 2017.

ARANTES, V. D. ​E-commerce: A expansão do setor no Brasil e o

comportamento do consumidor. Monografia – Departamento de Relações
Públicas, Propaganda e Turismo, Universidade de São Paulo. São Paulo. 2016.

ARAÚJO, M. B. ​Comércio eletrônico; Marco Civil da Internet; Direito Digital. Rio

de Janeiro: Confederação Nacional do Comércio de Bens, Serviços e Turismo, 2017.

BLUM, R. P. F. ​O direito à privacidade e à proteção dos dados do consumidor.

São Paulo: Almedina, 2018.

BRANCHER, Paulo Marcos Rodrigues. ​Comércio eletrônico. ​Enciclopédia jurídica

da PUC-SP. 1. ed. São Paulo: Pontifícia Universidade Católica de São Paulo, 2017.
Disponível em:
<https://enciclopediajuridica.pucsp.br/verbete/258/edicao-1/comercio-eletronico>.
Acesso em 30 de Novembro de 2020.

BRASIL. ​Constituição da República Federativa do Brasil de 1988. Disponível em:

<http://www.planalto.gov.br/ccivil_03/constituicao/constituicao.htm>. Acesso em 30
de Novembro de 2020.

______. ​Lei n. 8.078, de 11 de Setembro de 1990. Código de Defesa do

Consumidor. Dispõe sobre a proteção do consumidor e dá outras providências.
Disponível em: <http://www.planalto.gov.br/ccivil_03/Leis/l8078.htm>. Acesso em 30
de Novembro de 2020.

______. ​Decreto nº 7.962, de 15 de Março de 2013. Lei do E-Commerce.

Regulamenta a Lei nº 8.078, de 11 de Setembro de 1990, para dispor sobre a
contratação no comércio eletrônico. Disponível em
<http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2013/decreto/d7962.htm>.
Acesso em 30 de Novembro de 2020.

______. ​Lei n. 12.965, de 23 de Abril de 2014​. Lei do Marco Civil da Internet.

Estabelece princípios, garantias, direitos e deveres para o uso da Internet no Brasil.
Disponível em:
<http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2014/lei/l12965.htm>. Acesso
em 30 de Novembro de 2020.

______. ​Lei n. 13.709, de 14 de Agosto de 2018​. Lei Geral de Proteção de Dados

Pessoais. Dispõe sobre a proteção de dados pessoais e altera a Lei nº 12.965, de
23 de Abril de 2014 (Marco Civil da Internet). Disponível em:
<http://www.planalto.gov.br/ccivil_03/_ato2015- 2018/2018/lei/L13709.htm>. Acesso
em 30 de Novembro de 2020.
 34

COM dois anos de atraso, governo cria estrutura de agência de proteção de dados.
Conjur​, 2020. Disponível em:
<https://www.conjur.com.br/2020-ago-27/dois-anos-atraso-governo-cria-estrutura-an
pd>. Acesso em 30 de Novembro de 2020.

COSTA, Teo. ​Jack London: Fundador do primeiro e-commerce do Brasil

faleceu. Teo, 2016. Disponível em:
<https://www.teo.com.br/2016/08/15/jack-london-booknet-primeiro-e-commerce-do-b
rasil-faleceu/>. Acesso em: 25 de Novembro de 2020.

DONDA, Daniel. ​Guia prático de implementação da LGPD: conheça estratégias

e soluções para adequar sua empresa em conformidade com a Lei. São Paulo:
Labrador, 2020.

EBIT. NIELSEN. ​WEBSHOPPERS, 42º Relatório. Ebit, 2020. Disponível para

download em: <https://company.ebit.com.br/webshoppers/webshoppersfree>.
Acesso em: 25 de Novembro de 2020.

EM depoimento de 5 horas ao Senado americano, Mark Zuckerberg admite erros do

Facebook. ​G1​, 2018. Disponível em:
<https://g1.globo.com/economia/tecnologia/noticia/mark-zuckerberg-depoe-ao-senad
o-sobre-uso-de-dados-pelo-facebook.ghtml>. Acesso em 30 de Novembro de 2020.
ENCRIPT. ​O caso Cambridge Analytica e a influência na criação da LGPD.
2019. Disponível em:
<https://encript.com.br/o-caso-cambridge-analytica-e-a-influencia-na-criacao-da-lgpd
/>. Acesso em 30 de Novembro de 2020.

EUDES, Quintino. ​O direito à intimidade. ​Migalhas. 2018. Disponível em:

<https://migalhas.uol.com.br/depeso/279271/o-direito-a-intimidade>. Acesso em 30
de Novembro de 2020.

GOMES JÚNIOR, F. ​As polêmicas da Lei Geral de Proteção de Dados para as

empresas no Brasil. ​Migalhas. 2020. Disponível em:
<https://migalhas.uol.com.br/depeso/334007/as-polemicas-da-lei-geral-de-protecao-
de-dados-para-as-empresas-no-brasil>

GOUVEA NETO, F. F. ​Leis aplicáveis ao comércio eletrônico no Brasil.

Jusbrasil. 2018. Disponível em:
<https://freitasgouvea.jusbrasil.com.br/artigos/664766327/leis-aplicaveis-ao-comerci
o-eletronico-no-brasil>. Acesso em: 26 de Novembro de 2020.

LEE, Xah. ​Internet Speed Growth Rate. Xah Code, 2020. Disponível em:
<http://xahlee.info/comp/bandwidth.html>. Acesso em: 25 de Novembro de 2020.

LGPD NA PRÁTICA: #01 Você sabe por que precisa se adequar à LGPD?
Entrevistado: Marcílio Braz. Entrevistadora: Mariana Dantas. Rádio Jornal. 24 set.
2020. Podcast. Disponível em:
 35

<https://open.spotify.com/episode/0ZQSTE8HiHdirej4QDjI1L>. Acesso em: 29 de

Novembro de 2020.

MARINHO, Fernando. ​Os 10 mandamentos da LGPD : como implementar a Lei

Geral de Proteção de Dados em 14 passos​. 1. ed. São Paulo: Atlas, 2020.

MATSUDA, M. S. ​O direito do consumidor à efetiva proteção do

armazenamento de dados relativo aos negócios jurídicos firmados no
ambiente eletrônico. Tese - Pontifícia Universidade Católica de São Paulo, 2017.
Disponível em:
<https://tede.pucsp.br/bitstream/handle/19921/2/Marcelino%20Sato%20Matsuda.pdf
>. Acesso em: 30 de Novembro de 2020.

PINHEIRO, P. P. ​Proteção de dados pessoais: comentários à Lei n. 13.709/2018

(LGPD).​ São Paulo: Saraiva Educação, 2018.

________, ​Direito digital. 6

​ . ed. rev., atual. e ampl. São Paulo: Saraiva, 2016.

PREEZ, Derek du. The impact of GDPR - 160,000 breach notifications in Europe and
€114m in fines. ​Diginomica​. Disponível em:
<https://diginomica.com/impact-gdpr-160000-breach-notifications-europe-and-eu114
m-fines>. Acesso em 30 de Novembro de 2020.
PRIVACIDADE Hackeada​. AMER, Karim; NOUJAIM, Jehane. California: Netflix,
​ etflix (138 min.).
2019. Disponível via ​streaming N

SCHNEIDER, Gary P. ​Electronic Commerce. 12ª ed. California: Cengage Learning,

2017.

SELEME, M. P. ​Lei geral de proteção de dados - Por que precisamos dela? -

Migalhas. 2019. Disponível em:
<https://migalhas.uol.com.br/depeso/305072/lei-geral-de-protecao-de-dados-por-que
-precisamos-dela>. Acesso em: 28 de Novembro de 2020.

SOBHIE, Amir Ayoub; OLIVEIRA, Deymes Cachoeira de. ​Proteção do consumidor

no comércio eletrônico: Inovações relevantes para as vendas on-line no Brasil
a partir do Decreto Federal nº. 7962/2013. Revista Eletrônica de Iniciação
Científica. Itajaí, Centro de Ciências Sociais e Jurídicas da UNIVALI. v. 4, n.4, p. 84-
107, 4º Trimestre de 2013. Disponível em: www.univali.br/ricc - ISSN 2236-5044

TEIXEIRA, Tarcisio. Comércio Eletrônico - conforme o marco civil da internet e

a regulamentação do e-commerce no Brasil, 1 ª edição.​. São Paulo: Editora
Saraiva, 2015. 9788502622494. Disponível em:
<https://integrada.minhabiblioteca.com.br/#/books/9788502622494/>. Acesso em: 28
Nov 2020

VIANNA, Carla. ​E-commerce: conheça as principais leis que regem a

modalidade de negócio. E-commerce Brasil, 2019, Disponível em:
 36

<https://www.ecommercebrasil.com.br/artigos/e-commerce-principais-leis/>. Acesso
em 27 de Novembro de 2020.

VITÓRIA de Trump contraria pesquisas e projeções nos EUA. G1, ​2016. Disponível
em:<http://g1.globo.com/mundo/eleicoes-nos-eua/2016/noticia/2016/11/pesquisas_.h
tml>. Acesso em 30 de Novembro de 2020.

YOUNG, J. ​US ecommerce sales grow 14.9% in 2019​. Digital Commerce 360,
2020. Disponível em:
<https://www.digitalcommerce360.com/article/us-ecommerce-sales/>. Acesso em: 25
de Novembro de 2020.