A Lei Geral de Proteção de Dados Pessoais foi criada para garantir a proteção e o controle dos

dados pessoais, e foi sancionada em agosto de 2018, com o período de vacância da Lei de 2
anos.
Assim, entrou oficialmente em vigor em 18/09/2020, contudo, com o PL 1179/20, convertido
na Lei nº 14.010/20, as sanções administrativas foram deferidas para aplicação a partir de
agosto 2021.

O que é:

A Lei Geral de Proteção de Dados Pessoais é a legislação brasileira que regula as atividades do
tratamento de dados pessoais.
A lei estabelece regras sobre a coleta, armazenamento, tratamento e compartilhamento de
dados pessoais e tem o objetivo proteger os direitos fundamentais de liberdade e de
privacidade e o livre desenvolvimento da personalidade da pessoa natural. Além de promover
um cenário de segurança jurídica, garantindo a proteção dos dados pessoais de todo cidadão
brasileiro.
A quem se aplica

A Lei se aplica a qualquer operação de tratamento de dados por pessoa natural (física) ou
pessoa jurídica de direito público ou privado, independentemente do país de sua sede ou do
país onde estejam localizados os dados, desde que:

A Lei não se aplica se o tratamento de dados pessoais for:

Fundamentos:::

De acordo com a redação da Lei, a proteção de dados pessoais possui 7 (sete)

fundamentos, e conhecê-los é essencial para a correta aplicação da Lei. Os fundamentos
têm como premissa embasar toda e qualquer ação que envolva o tratamento de dados
pessoais, sendo eles:

1. O respeito à privacidade;

2. A autodeterminação informativa;

3. A liberdade de expressão, de informação, de comunicação e de

opinião;

4. A inviolabilidade da intimidade, da honra e da imagem;

5. O desenvolvimento econômico e tecnológico e a inovação;

6. A livre iniciativa, a livre concorrência e a defesa do consumidor;

7. Os direitos humanos, o livre desenvolvimento da personalidade, a

dignidade e o exercício da cidadania pelas pessoas naturais.

A LGPD também traz em sua redação os 10 (dez) princípios fundamentais que, além da
boa fé, regem o tratamento dos dados pessoais e que devem fazer parte do dia a dia das
suas operações em relação aos dados pessoais, são eles:

1. Finalidade: tratar os dados pessoais com base em finalidade clara, objetiva, específica,
legítima e informada ao titular;

2. Adequação: compatibilizar com a finalidade de coleta, informada ao titular do dado,

coletando apenas o necessário da forma mais adequada;

3. Necessidade: coletar apenas o necessário para atingir a finalidade, com abrangência

dos dados pertinentes, proporcionais e não excessivos em relação às finalidades;

4. Livre Acesso: garantir ao titular de dados a facilidade para acessar seus dados, assim
como a forma e duração do tratamento, de forma fácil, livre e gratuita.

5. Qualidade dos dados: garantir que os dados estão claros, exatos e relevantes, com fácil
possibilidade para atualização, de acordo com a necessidade e cumprimento da finalidade;

6. Transparência: garantir aos titulares que seus dados estão claros, precisos e de fácil
acesso. O titular tem que ter a clareza do que será feito com o seu dado, assim como quem
são os respectivos agentes de tratamento;

7. Segurança: garantir que o tratamento do dado seja realizado da forma mais segura
possível, por meio da utilização de medidas técnicas e administrativas aptas e eficazes que
possibilitem a proteção em todas as situações adversas, acidentes e de eventuais
vazamentos;

8. Prevenção: garantir a existência de medidas que previnam a ocorrência de qualquer dano

decorrente do tratamento do dado;

9. Não Discriminação: garantir que o dado não será tratado para fins discriminatórios,
ilícitos ou abusivos;

10. Responsabilização e Prestação de Contas: Possibilidade de demonstrar a qualquer

tempo, a adoção de medidas eficazes e eficientes que garantam o cumprimento de todas as
normas de proteção de dados pessoais.

Conceitos:

Alguns termos você também precisa conhecer para entender, exatamente, por qual motivo
seu trabalho pode impactar a LGPD.

Agentes de tratamento: o controlador e o operador.

Controlador:uma pessoa natural ou jurídica, de direito público ou privado, responsável pelas
decisões referentes ao tratamento de dados.

Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento
de dados pessoais em nome do controlador.

Encarregado de Tratamento de Dados (DPO): Pessoa física ou jurídica que atua como canal de
comunicação entre o controlador e os titulares dos dados e a autoridade nacional.

Tratamento de dados: toda operação realizada com dados pessoais, como as que se referem a
coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão,
distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou
controle da informação, modificação, comunicação, transferência, difusão ou extração.

Dados Pessoais: Toda informação relacionada a uma pessoa identificada ou identificável.

Dados Pessoais Sensíveis: Dados relacionados a características da personalidade do indivíduo

e suas escolhas pessoais, quando vinculado a uma pessoa natural: Origem racial ou étnica,
convicção religiosa, opinião política; filiação a sindicato ou a organização de caráter religioso,
filosófico ou político, dado referente à saúde ou à vida sexual; dado genético ou biométrico.

Banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários

locais, em suporte eletrônico ou físico.

Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o
tratamento de seus dados pessoais para uma finalidade determinada.

Eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados,

independentemente do procedimento empregado.

Relatório de impacto à proteção de dados pessoais: documentação do controlador que

contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às
liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos
de mitigação de risco.

Transferência internacional de dados: transferência de dados pessoais para país estrangeiro

ou organismo internacional do qual o país seja membro.

Uso compartilhado de dados: comunicação, difusão, transferência internacional, interconexão

de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e
entidades públicos no cumprimento de suas competências legais, ou entre esses e entes
privados, reciprocamente, com autorização específica, para uma ou mais modalidades de
tratamento permitidas por esses entes públicos, ou entre entes privados.

ANPD: Autoridade Nacional de Proteção de Dados: órgão com atribuições de fiscalizar e

divulgar como as informações pessoais e dados pessoais que circulam e são utilizados pelas
empresas devem ser tratados.

Conforme vimos no módulo anterior, dado pessoal é toda informação relacionada a uma
pessoa natural que a identifique ou possa identificá-la, ou seja, trata-se de toda e qualquer
informação que identifique, direta ou indiretamente uma pessoa, tais como: nome, CPF, RG,
carteira de habilitação, gênero, data e local de nascimento, telefone, endereço residencial,
retrato em fotografia, conta bancária, renda, histórico de pagamentos, endereço de IP
(Protocolo da Internet), entre outros.

Assim, a LGPD, que regulamenta o tratamento destes dados pessoais, traz em sua redação as
hipóteses em que eles podem ser tratados, e é o que veremos aqui.

Mas, antes disso, vamos relembrar o que é "tratamento de dados pessoais"!

Em todo o caminho que o dado percorre, desde sua coleta até sua eliminação, há algum tipo
de tratamento de dado, como: coleta, armazenamento, transferência, compartilhamento,
exclusão, enfim, tudo o que se pode fazer com um dado.

Agora que relembramos o que são dados pessoais e o que é tratamento de dados pessoais,
vamos falar das hipóteses que legitimam este tratamento.

As hipóteses nada mais são do que as bases legais que autorizam o tratamento dos dados.
Assim, para realizar qualquer atividade de tratamento de Dado Pessoal é fundamental
observar qual a base legal que permite tratá-lo.

A redação da Lei apresenta as hipóteses, conforme verão abaixo, e vamos explicá-las para seu
melhor entendimento:

1. Mediante o fornecimento de consentimento pelo titular: O consentimento é uma espécie de

autorização, assinada pelo titular do dado, ou a concordância do titular, que permite o tratamento
de seus dados pessoais. Importante ressaltar que, para o titular autorizar ou concordar com o
tratamento, mediante consentimento, é imprescindível que ele saiba exatamente qual a finalidade
do tratamento, que deve estar especificada. É necessário e fundamental que o consentimento seja
livre, inequívoco, retratando de forma clara e precisa a vontade do titular.

2. Para o cumprimento de obrigação legal ou regulatória pelo controlador: Nesta hipótese, o

tratamento é realizado a partir da necessidade de se cumprir outras leis ou regulamentos, ou seja,
não é uma “escolha” dos agentes de tratamento (controlador ou operador) e não é necessário o
consentimento do titular, vez que é uma imposição legal.

3. Pela administração pública, para o tratamento e uso compartilhado de dados necessários à

execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos,
convênios ou instrumentos congêneres: Mais uma vez, não é uma “escolha” e não há necessidade
de consentimento pelo titular. A administração pública, por vezes, para cumprir seu papel, precisa
dos dados pessoais para uma ação específica, tal como a descrição da hipótese mencionada.

4. Para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a
anonimização dos dados pessoais: Nesta hipótese o tratamento é valido para instituições públicas
e privadas com a finalidade de realizar estudos e/ou pesquisas cientificas, econômicas ou sociais, e
para tanto é preconizado que os dados utilizados sejam, sempre que possível, anonimizados,
impossibilitando a associação do dado ao indivíduo.

5. Quando necessário para a execução de contrato ou de procedimentos preliminares

relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados: Nesse caso,
deve ser observado que é o próprio titular que tem interesse em determinada contratação e, se for
necessário o tratamento de dados para a finalidade específica de interesse do titular, a lei permite
que sejam tratados sob pena do titular não poder fazer a contratação que lhe interessa, inclusive,
ele deve saber desse fato.

6. Para o exercício regular de direitos em processo judicial, administrativo ou arbitral: Essa

hipótese considera que em casos de processos judiciais, administrativos ou arbitral estará
autorizado o tratamento dos dados pessoais para finalidades específicas de ordem judicial ou
imposição legal.

7. Para a proteção da vida ou da incolumidade física do titular ou de terceiros: Quando se tratar

de proteger a vida e de garantir a segurança física do titular, os dados pessoais específicos para
essa finalidade podem ser tratados sem a existência de consentimento.

8. Para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde,

serviços de saúde ou autoridade sanitária: Esta hipótese está restrita unicamente para
procedimento realizado por profissional de saúde, serviços de saúde ou autoridade sanitária para
proteger a saúde do titular.

9. Quando necessário para atender aos interesses legítimos do controlador ou de terceiros,

exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a
proteção dos dados pessoais: Esta hipótese respalda o controlador ou o operador a tratar dados
pessoais para atender o seu interesse legítimo, o qual deve ser concretamente fundamentado,
assim como respeitados os direitos de liberdade fundamentais do titular dos dados. Alguns
fundamentos podem justificar por: a) apoio e promoção de atividades do controlador; e b)
proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o
beneficiem, respeitadas as legítimas expectativas dele e os direitos e liberdades fundamentais, nos
termos da LGPD.

ATENÇÃO
Quando o tratamento for baseado no legítimo interesse do controlador, somente os dados
pessoais estritamente necessários para a finalidade pretendida poderão ser tratados.

O controlador deverá adotar medidas para garantir a transparência do tratamento de dados

baseado em seu legítimo interesse.

A autoridade nacional poderá solicitar ao controlador relatório de impacto à proteção de

dados pessoais, quando o tratamento tiver como fundamento seu interesse legítimo,
observados os segredos comercial e industrial.

10. Para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente: Nesta
hipótese, legitima-se o tratamento para atividades de aprovação de crédito e minimização de
riscos na transação, os dados pessoais podem ser consultados.

Para começar vamos então relembrar o que é um Dado Pessoal Sensível.

Dado sensível é todo o dado relacionado a características da personalidade do indivíduo
e suas escolhas pessoais, quando vinculado a uma pessoa natural, podendo ser:

• Origem racial ou étnica;

• Convicção religiosa;

• Opinião política;

• Filiação a sindicato ou a organização de caráter religioso,

filosófico ou político;

• Dado referente à saúde;

• Dado referente à vida sexual;

 • Dado genético;

• Dado biométrico.

É sempre necessário que se faça uma análise cuidadosa de modo a garantir quando este
dado poderá ser tratado, uma vez que hipóteses utilizadas para tratar dados comuns
podem não ser as mesmas que legitimam o tratamento de dados sensíveis e é disto que
vamos tratar.

Sendo assim, você poderá notar que o tratamento de dados pessoais sensíveis não pode
ser feito com base no legítimo interesse, execução de contrato e proteção ao crédito!

Seguem as hipóteses que permitem o tratamento, conforme a redação da LGPD:

1. Quando o titular ou seu responsável legal consentir, de forma específica e destacada,

para finalidades específicas;

2. Sem fornecimento de consentimento do titular, nas hipóteses em que for

indispensável para:

a) cumprimento de obrigação legal ou regulatória pelo controlador;

b) tratamento compartilhado de dados necessários à execução, pela administração

pública, de políticas públicas previstas em leis ou regulamentos;

c) realização de estudos por órgão de pesquisa, garantida, sempre que possível, a

anonimização dos dados pessoais sensíveis;

d) exercício regular de direitos, inclusive em contrato e em processo judicial,

administrativo e arbitral;

e) proteção da vida ou da incolumidade física do titular ou de terceiros;

f) tutela da saúde, exclusivamente, em procedimento realizado por profissionais de

saúde, serviços de saúde ou autoridade sanitária; ou
g) garantia da prevenção à fraude e à segurança do titular, nos processos de
identificação e autenticação de cadastro em sistemas eletrônicos, resguardados os
direitos do titular e exceto no caso de prevalecerem direitos e liberdades fundamentais
do titular que exijam a proteção dos dados pessoais.

Esperamos que desta forma tenha ficado claro para você todas as hipóteses que
legitimam o tratamento de dados pessoais e de dados pessoais sensíveis.

A proteção de dados pessoais de crianças e adolescentes é um tema que ganha cada vez mais
importância diante do cenário que reflete a exacerbação do uso de tecnologias da informação
e comunicação por pessoas cada vez mais jovens.

A LGPD traz uma seção específica que aborda o tratamento de dados pessoais de crianças e
adolescentes, e, como não poderia ser diferente, estabelece medidas de proteção mais
cautelosas, especificando que deve ser realizado em seu melhor interesse, o que por si só já
denota a obrigatoriedade do cuidado, considerando a família, a sociedade e Estado.

Importante ressaltar também a relação do melhor interesse com a proteção de dados no

sentido de limitar o tratamento sempre ao mínimo possível, sempre e apenas justificados por
sua finalidade, considerando apenas o que é essencial, legítimo, explícito, específico e nunca
excessivo. Todo e qualquer tratamento deve ser informado ao titular.

Assim como nos demais casos de tratamento de dados que falamos, aqui também remete a
toda e qualquer operação que envolva, acesso, coleta, extração, transferência,
compartilhamento e eliminação de informações pessoais.

Apresentamos a explanação, conforme redação da Lei:

1. O tratamento de dados pessoais de crianças deverá ser realizado com o consentimento

específico e em destaque dado por pelo menos um dos pais ou pelo responsável legal;

2. No tratamento de dados, os controladores deverão manter pública a informação sobre os

tipos de dados coletados, a forma de sua utilização e os procedimentos para o exercício dos
direitos;

3. Poderão ser coletados dados pessoais de crianças sem o consentimento, quando a coleta for
necessária para contatar os pais ou o responsável legal, utilizados uma única vez e sem
armazenamento, ou para sua proteção, e em nenhum caso poderão ser repassados a terceiro
sem o consentimento;

4. Os controladores não deverão condicionar a participação dos titulares deste artigo em

jogos, aplicações de internet ou outras atividades ao fornecimento de informações pessoais,
além das estritamente necessárias à atividade;

5. O controlador deve realizar todos os esforços razoáveis para verificar se o consentimento foi
dado pelo responsável pela criança, consideradas as tecnologias disponíveis;

6. As informações sobre o tratamento de dados deverão ser fornecidas de maneira simples,

clara e acessível, consideradas as características físico-motoras, perceptivas, sensoriais,
intelectuais e mentais do usuário, com uso de recursos audiovisuais quando adequado, de
forma a proporcionar a informação necessária aos pais ou ao responsável legal e adequada ao
entendimento da criança.

Primeiramente, vamos relembrá-lo do conceito de Transferência de dados pessoais: se

refere a toda e qualquer transferência de dados pessoais para país estrangeiro ou
organismo internacional do qual o país seja membro.

É possível, dentro de algumas atividades profissionais em decorrência de operações dos

controladores, a necessidade de se realizar o tratamento de dados juntamente com
funcionários, instituições, empresas ou órgãos de outros países, e haver a necessidade de
compartilhar dados. Nestas situações, pode se dar a transferência internacional de dados.

Temos que enfatizar que, assim como nos demais pontos tratados neste módulo, todas
as operações de tratamento de dados, neste caso, a transferência internacional, deve
obrigatoriamente estar fundamentada na base legal, devendo esta ser registrada, visto
que implica em maiores riscos aos direitos dos titulares, quer seja proveniente da
distância e pela divergência de legislação dos diferentes países.

Conforme a redação da LGPD, a transferência só é permitida nos casos listados:

1. Para países ou organismos internacionais que proporcionem grau de proteção de

dados pessoais adequado ao previsto na LGPD;

2. Quando o controlador oferecer e comprovar garantias de cumprimento dos princípios,

dos direitos do titular e do regime de proteção de dados previstos na LGPD, na forma
de:

a) cláusulas contratuais específicas para determinada transferência;

b) cláusulas-padrão contratuais;

c) normas corporativas globais;

d) selos, certificados e códigos de conduta regularmente emitidos.

3. Quando a transferência for necessária para a cooperação jurídica internacional entre

órgãos públicos de inteligência, de investigação e de persecução, de acordo com os
instrumentos de direito internacional;

4. Quando a transferência for necessária para a proteção da vida ou da incolumidade

física do titular ou de terceiros;

5. Quando a autoridade nacional autorizar a transferência;

6. Quando a transferência resultar em compromisso assumido em acordo de cooperação

internacional;

7. Quando a transferência for necessária para a execução de política pública ou

atribuição legal do serviço público, sendo dada publicidade conforme a LGPD;

8. Quando o titular tiver fornecido o seu consentimento específico e em destaque para a

transferência, com informação prévia sobre o caráter internacional da operação,
distinguindo claramente de outras finalidades;

9. Quando necessário para atender às seguintes hipóteses:

a) para o cumprimento de obrigação legal ou regulatória pelo controlador;

b) quando necessário para a execução de contrato ou de procedimentos preliminares

relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;

c) para o exercício regular de direitos em processo judicial, administrativo ou arbitral;

d) para a proteção da vida ou da incolumidade física do titular ou de terceiros.

Para melhor entendimento, vamos compartilhar uma situação simples na qual se dá a

transferência de dados internacionais:

Um colaborador do Banco XPTO, cuja agência está localizada em Bangladesh, realiza uma ligação
para o seu gestor, passando dados sobre investimentos e ativos de dois de seus clientes, pessoas
físicas brasileiras. Findada a ligação, o gestor registra e armazena os dados em seu computador no
sistema da agência em Bangladesh. Estará caracterizada a transferência internacional de dados.

VAMOS ENTENDER UM POUCO MAIS SOBRE O TRATAMENTO DE DADOS PESSOAIS

LEGITIMADO POR MEIO DO CONSENTIMENTO!

Se você chegou até aqui, já entendeu que a LGPD permite o tratamento de dados
pessoais embasada em várias hipóteses e uma delas é o consentimento.

• O controlador que obteve o consentimento para tratar os dados pessoais e que

necessitar comunicar ou compartilhar os dados com outros controladores deverá obter
consentimento específico do titular para esse fim.
• O consentimento deverá ser fornecido por escrito ou por outro meio que demonstre a
manifestação de vontade do titular.

• Caso o consentimento seja fornecido por escrito, esse deverá constar de cláusula
destacada das demais cláusulas contratuais.

• Cabe ao controlador o ônus da prova de que o consentimento foi obtido em

conformidade com o disposto na LGPD.

• É vedado o tratamento de dados pessoais mediante vício de consentimento.

• O consentimento deverá referir-se a finalidades determinadas, e as autorizações

genéricas para o tratamento de dados pessoais serão nulas.

• O consentimento pode ser revogado a qualquer momento, mediante manifestação

expressa do titular, por procedimento gratuito e facilitado, ratificados os tratamentos
realizados sob amparo do consentimento anteriormente manifestado enquanto não
houver requerimento de eliminação.

A LGPD buscou estabelecer o equilíbrio no que se refere ao acesso à informação e à proteção

dos dados pessoais dos indivíduos quando se refere à administração pública, de modo que o
tratamento de dados deverá ser realizado unicamente para o atendimento de sua finalidade
pública, considerando o interesse público, com o objetivo de executar as competências e
atribuições legais do serviço público, desde que:

1. Sejam informadas as hipóteses em que, no exercício de suas competências, realizam o

tratamento de dados pessoais, fornecendo informações claras e atualizadas sobre a previsão
legal, a finalidade, os procedimentos e as práticas utilizadas para a execução dessas atividades,
em veículos de fácil acesso, preferencialmente em seus sítios eletrônicos;

2. Seja indicado um encarregado quando realizarem operações de tratamento de dados

pessoais.

Notem que no item 2, aparece a figura do encarregado de tratamento de dados (DPO), que
também vimos o conceito no módulo anterior e reiteramos aqui:

• Encarregado de Tratamento de Dados (DPO): Pessoa física ou jurídica que atua como canal
de comunicação entre o controlador e os titulares dos dados e a autoridade nacional, quanto à
aplicação da lei para a proteção dos dados das pessoas físicas.
A Lei determina que o titular de dados tem direito de receber do controlador, em relação aos
dados por ele tratados, a qualquer tempo e mediante requerimento expresso do titular ou de
representante legalmente constituído:

1. Confirmação da existência de tratamento;

2. Acesso aos dados

5. Portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição
expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos
comercial e industrial;

6. Eliminação dos dados pessoais tratados com o consentimento do titular, exceto quando
autorizada a conservação de dados pessoais, conforme elencado abaixo:

a) cumprimento de obrigação legal ou regulatória pelo controlador;

b) estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados
pessoais;
c) transferência a terceiro, desde que respeitados os requisitos de tratamento de dados
dispostos na LGPD; ou

d) uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os
dados.

7. Informação das entidades públicas e privadas com as quais o controlador realizou uso
compartilhado de dados;

8. Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências

da negativa;

9. Revogação do consentimento, a qualquer momento mediante manifestação expressa do

titular por procedimento gratuito e facilitado, ratificados os tratamentos realizados sob
amparo do consentimento anteriormente manifestado enquanto não houver requerimento de
eliminação.

Em caso de impossibilidade de adoção imediata da providência requerida pelo titular, o

controlador deverá enviar ao titular resposta em que poderá:

• Comunicar que não é agente de tratamento dos dados e indicar, sempre que possível, o
agente; ou

• Indicar as razões de fato ou de direito que impedem a adoção imediata da providência.

• O requerimento deverá ser atendido sem custos para o titular, nos prazos e nos termos
previstos em regulamento.
• O responsável deverá informar, de maneira imediata, aos agentes de tratamento com os
quais tenha realizado uso compartilhado de dados a correção, a eliminação, a anonimização ou
o bloqueio dos dados, para que repitam idêntico procedimento, exceto nos casos em que esta
comunicação seja comprovadamente impossível ou implique esforço desproporcional.

Desta forma, podemos resumidamente afirmar que o titular de dados tem o direito de saber
se o controlador de seus dados faz qualquer tipo de tratamento, e neste caso, a resposta do
controlador também deve atender as prerrogativas legais, sendo realizada de forma imediata
e indicando como o dado foi coletado, os critérios utilizados e a finalidade do tratamento.

O titular também possui o direito de acesso aos dados pessoais tratados pelo controlador,
podendo receber cópia desses dados quando solicitado, além de poder requerer a alteração
dos dados pessoais tratados pelo controlador sempre que estiverem incompletos, inexatos ou
desatualizados. E ainda de poder solicitar a anonimização, o bloqueio ou a eliminação de
dados desnecessários, excessivos ou tratados pelo controlador em desconformidade com a
legislação.

Quando o assunto é portabilidade, o titular tem direito, por meio de requisição expressa, de
solicitar o compartilhamento dos dados tratados pelo controlador para outra instituição.
Também prevê a lei que, havendo a revogação do consentimento, pelo titular (possibilidade
prevista em lei), é um direito exigir a eliminação dos dados pessoais tratados, salvaguardados
os casos em que os dados por normativas legais devam ser mantidos. Assim, o titular tem o
direito de revogar o consentimento dado anteriormente e, para isso, o controlador deve ter
meios facilitados para o exercício deste direito.

Por fim, ao titular é garantida a possibilidade de rever as decisões tomadas pelos

controladores com base em tratamento automatizado de dados pessoais que afetem seus
interesses.

O titular tem direito ao acesso facilitado às informações sobre o tratamento de seus dados,
que deverão ser disponibilizadas de forma clara, adequada e ostensiva acerca de, entre outras
características previstas em regulamentação para o atendimento do princípio do livre acesso:
Caso haja alteração das informações transmitidas ao titular, o controlador deverá informar ao
titular, com destaque de forma específica do teor das alterações, podendo o titular, nos casos
em que o seu consentimento é exigido, revogá-lo caso discorde da alteração.

Caso as informações fornecidas ao titular tenham conteúdo enganoso ou abusivo ou não

tenham sido apresentadas previamente com transparência, de forma clara e inequívoca, na
hipótese em o consentimento é requerido, este poderá ser considerado nulo. Também na
hipótese em que o consentimento é requerido, se houver mudanças da finalidade para o
tratamento de dados pessoais não compatíveis com o consentimento original, o controlador
deverá informar previamente o titular sobre as mudanças de finalidade, podendo o titular
revogar o consentimento, caso discorde das alterações.

Provavelmente você já ouviu falar na Lei do Cadastro Positivo (Lei Nº12.414/2021)

e talvez esteja pensando em algum possível conflito entre ela e a LGPD.

E a resposta é não. Não há conflito algum.

Você já viu que a LGPD tem como uma das hipóteses, que legitima o tratamento de dados
pessoais, a proteção do crédito. Além disso já conheceu nesse módulo os direitos dos titulares
de dados pessoais.

Ao observar a Lei do Cadastro Positivo, você encontra sinergia com a LGPD, algumas delas
apresentadas abaixo:

Art. 3º Os bancos de dados poderão conter informações de adimplemento do cadastrado, para

a formação do histórico de crédito, nas condições estabelecidas nesta Lei.

§ 1º Para a formação do banco de dados, somente poderão ser armazenadas informações

objetivas, claras, verdadeiras e de fácil compreensão, que sejam necessárias para avaliar a
situação econômica do cadastrado.

§ 3º Ficam proibidas as anotações de:

I - Informações excessivas, assim consideradas aquelas que não estiverem vinculadas à análise
de risco de crédito ao consumidor; e

II - Informações sensíveis, assim consideradas aquelas pertinentes à origem social e étnica, à

saúde, à informação genética, à orientação sexual e às convicções políticas, religiosas e
filosóficas.

Art. 5º São direitos do cadastrado:

I - Obter o cancelamento ou a reabertura do cadastro, quando solicitado;

II - Acessar gratuitamente, independentemente de justificativa, as informações sobre ele
existentes no banco de dados, inclusive seu histórico e sua nota ou pontuação de crédito,
cabendo ao gestor manter sistemas seguros, por telefone ou por meio eletrônico, de consulta
às informações pelo cadastrado;

III - solicitar a impugnação de qualquer informação sobre ele erroneamente anotada em banco
de dados e ter, em até 10 (dez) dias, sua correção ou seu cancelamento em todos os bancos de
dados que compartilharam a informação;

IV - Conhecer os principais elementos e critérios considerados para a análise de risco,

resguardado o segredo empresarial;

Art. 6º Ficam os gestores de bancos de dados obrigados, quando solicitados, a fornecer ao

cadastrado:

I - Todas as informações sobre ele constantes de seus arquivos, no momento da solicitação;

II - Indicação das fontes relativas às informações de que trata o inciso I, incluindo endereço e
telefone para contato;

III - Indicação dos gestores de bancos de dados com os quais as informações foram
compartilhadas;

IV - Indicação de todos os consulentes que tiveram acesso a qualquer informação sobre ele nos
6 (seis) meses anteriores à solicitação

V - Cópia de texto com o sumário dos seus direitos, definidos em lei ou em normas infralegais
pertinentes à sua relação com gestores, bem como a lista dos órgãos governamentais aos
quais poderá ele recorrer, caso considere que esses direitos foram infringidos; e

VI - Confirmação de cancelamento do cadastro.

V - Ser informado previamente sobre a identidade do gestor e sobre o armazenamento e o

objetivo do tratamento dos dados pessoais;

VI - Solicitar ao consulente a revisão de decisão realizada exclusivamente por meios

automatizados; e

VII - ter os seus dados pessoais utilizados somente de acordo com a finalidade para a qual eles
foram coletados.
Os dados pessoais dos clientes são tratados com o devido
sigilo? Os documentos com os dados pessoais dos clientes
estão seguros?

“Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas,

aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou
ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento
inadequado ou ilícito”.

Sabemos hoje que os dados são um dos ativos mais preciosos e valiosos de uma empresa e,
como muitos dizem, são o novo petróleo.

Deste modo, considerando o cenário atual e as especificações legais, a cada dia se torna mais
essencial, oferecer às pessoas um ambiente seguro para que entreguem as suas informações.

Quando o assunto é proteção de dados pessoais, a segurança e o sigilo das informações

ganham importante destaque. Considerando a velocidade e as grandes transformações
tecnológicas, o armazenamento e segurança dos dados são realmente um desafio para os
agentes de tratamento de dados, sobretudo os controladores.

Autoridade Nacional de Proteção de Dados (ANPD) também pode determinar ao controlador

que elabore relatório de impacto à proteção de dados pessoais, inclusive de dados sensíveis,
referente a suas operações de tratamento de dados e dispor sobre padrões de
interoperabilidade para fins de portabilidade, livre acesso aos dados e segurança. Assim como
sobre o tempo de guarda dos registros, tendo em vista especialmente a necessidade e a
transparência.

RELATÓRIO DE IMPACTO À PROTEÇÃO DE DADOS PESSOAIS

Assim, os agentes de tratamento, têm a responsabilidade e a obrigação de garantir a
segurança dos dados, mesmo após o término do tratamento, até a sua eliminação, e devem
adotar as medidas necessárias, sejam técnicas e administrativas, de modo a garantir a
proteção dos dados pessoais e resguardá-las de acessos não autorizados, de eventuais
acidentes, incidentes ou utilização ilícita, enfim de toda e qualquer forma de tratamento
inadequado

A Autoridade Nacional de Proteção de Dados (ANPD) também pode determinar o término do

tratamento de dados pessoais, quando houver violação à LGPD.
Assim como os cuidados que os agentes devem ter, a lei também especifica sobre a estrutura
dos sistemas utilizados, que devem atender a todos os princípios e requisitos de segurança,
boas práticas e governança.

No caso de ocorrência de incidente de segurança, que possa ocasionar risco ou dano ao titular,
é previsto na LGPD que o controlador deve comunicar à Autoridade Nacional de Proteção de
Dados Pessoais (ANPD) e ao titular de dados, em prazo razoável ou os motivos da demora, no
caso de a comunicação não ter sido imediata, o fato, considerando:

A Autoridade Nacional de Proteção de Dados (ANPD) verificará a gravidade do incidente e

poderá, caso necessário para a salvaguarda dos direitos dos titulares, determinar ao
controlador a adoção de providências, tais como:

• Ampla divulgação do fato em meios de comunicação; e

• Medidas para reverter ou mitigar os efeitos do incidente.

Em razão da gravidade do incidente, será avaliada eventual comprovação de que foram

adotadas medidas técnicas adequadas que tornem os dados pessoais afetados ininteligíveis,
no âmbito e nos limites técnicos de seus serviços, para terceiros não autorizados a acessá-los.
Agora que exploramos a ênfase que a LGPD traz sobre
os princípios de segurança e o impacto que as
vulnerabilidades podem trazer, vamos falar sobre
governança e boas práticas, que também ganharam
destaque na redação da lei.

O estabelecimento de um modelo de governança para tratar do ciclo de vida do dado pessoal

é estratégico e primordial para a segurança de qualquer empresa, e a lei prevê isto!

Assim, com esta força e obrigatoriedade, os agentes de tratamento, recebem a incumbência

de formular regras e diretrizes de boas práticas e governança que norteiem e estabeleçam as
premissas e condições de toda a cadeia de tratamento de dados, demostrando a forma de
funcionamento, procedimentos, meios para assegurar um canal de comunicação com o titular,
no qual de forma facilitada possa registrar reclamações e/ou requisições, mecanismos para o
gerenciamento e mitigação de riscos, ações educativas e demais ações que promovam a
segurança e proteção no tratamento de dados pessoais.

Assim, conforme definição da Lei, ficam as diretrizes norteadoras para estes quesitos de
governança e boas práticas:

Observados a estrutura, a escala e o volume de suas operações, bem como a sensibilidade dos
dados tratados, a probabilidade e a gravidade dos danos para os titulares dos dados, o
controlador, poderá implementar e demonstrar a efetividade do programa de governança em
privacidade que, no mínimo:

a) demonstre o comprometimento do controlador em adotar processos e políticas internas

que assegurem o cumprimento, de forma abrangente, de normas e boas práticas relativas à
proteção de dados pessoais;
b) seja aplicável a todo o conjunto de dados pessoais que estejam sob seu controle,
independentemente do modo como se realizou sua coleta;

c) seja adaptado à estrutura, à escala e ao volume de suas operações, bem como à

sensibilidade dos dados tratados;

d) estabeleça políticas e salvaguardas adequadas com base em processo de avaliação

sistemática de impactos e riscos à privacidade;

e) tenha o objetivo de estabelecer relação de confiança com o titular, por meio de atuação
transparente e que assegure mecanismos de participação do titular;

f) esteja integrado a sua estrutura geral de governança e estabeleça e aplique mecanismos de

supervisão internos e externos;

g) conte com planos de resposta a incidentes e remediação; e

h) seja atualizado constantemente com base em informações obtidas a partir de

monitoramento contínuo e avaliações periódicas;

Dessa forma, enfatizamos que as organizações devem coletar o mínimo de dados e apenas o
necessário justificado sempre por sua finalidade e podem ter como norteador os princípios de
privacy by design e privacy by default, garantindo a segurança e privacidade dos dados do
início ao fim.

Pronto! Você já tem bastante familiaridade com a LGPD.

É momento de entendermos as competências da

AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS
(ANPD).

Chegamos no último módulo do curso e percorremos um caminho importante para seu

entendimento e aplicação da lei.

Para iniciar, relembraremos o conceito para facilitar o seu processo de assimilação e

aprendizagem:
E como surgiu este órgão?

A Autoridade Nacional de Proteção de Dados (ANPD) foi criada pela Lei nº 13.853/19 e passou
a funcionar em novembro de 2020, com autonomia técnica e decisória.
Dentre as principais competências da ANPD, podemos citar:

Como você pôde observar, o órgão vai muito além de fiscalização e aplicação de punições.
Servirá para orientar as pessoas e empresas.
Ao enfatizar as principais competências da ANPD, mencionamos as sanções previstas na LGPD
em caso de não cumprimento da legislação por parte do controlador ou operador, abaixo as
sanções a que estão sujeitos:

Para as aplicações das sanções, se faz necessária a análise criteriosa das diversas circunstâncias
da infração, conforme abaixo:
É muito importante, nesse contexto, entender também as responsabilidades sobre
ressarcimento de danos com efetiva indenização ao titular dos dados, aos quais tanto o
controlador quanto o operador de dados pessoais estão expostos, no caso de causarem dano
patrimonial, moral, individual ou coletivo em razão de violação da LGPD.

Você percorreu 6 módulos:

1. Introdução à LGPD

2. Fundamentos, Princípios e Conceitos

3. Requisitos para Tratamento de Dados Pessoais

4. Direitos dos Titulares

 5. Segurança e Sigilo dos Dados Pessoais

6. Autoridade Nacional de Proteção de Dados

Esperamos que tenha observado a relevância dos fundamentos e princípios da lei, além da
adoção de todas as medidas de segurança e proteção dos dados pessoais nela contida, que
contribuem para a minimização de danos no caso de qualquer incidente com o tratamento do
dado, como por exemplo:

• Acesso indevido

• Perda de dados pessoais

• Coleta excessiva de dados pessoais

• Vazamentos

• Golpes

• Violação da Privacidade

Jamais se esqueça que os “donos” (titulares) dos dados pessoais possuem uma série de
direitos prescritos na lei que devem ser cumpridos sob pena de sanções administrativas. Ah! E
claro...assim como você, em pouco tempo todos os cidadãos entenderam a LGPD e
reivindicarão seus direitos, então se antecipe!

1) A LGPD permite a coleta de dados pessoais em quais situações:

• 1) Apenas quando tiver o consentimento do titular dos dados pessoais

• 2) Não há restrição de coleta de dados pessoais, a exigência legal é apenas no uso

que se faz dos dados pessoais, para resguardar o titular.
• 3) Para cumprimento de obrigação regulatória pelo controlador
• 4) Apenas para proteção de crédito e risco de vida

2) A LGPD prevê que o controlador deve comunicar à Autoridade Nacional de Proteção de Dados Pessoais (ANPD) e ao titular de
dados os casos de ocorrência de incidente de segurança, que possam ocasionar risco ou dano ao titular. Em relação a esta
comunicação, assinale a alternativa incorreta:

• 1) O controlador deve informar a descrição da natureza dos dados pessoais afetados.

• 2) O controlador deve informar imediatamente a ocorrência em todos os canais de
comunicação, inclusive redes sociais e diário oficial da união.
• 3) O controlador deve informar os riscos relacionados ao incidente.
• 4) O controlador deve informar as medidas que foram ou que serão adotadas para
reverter ou mitigar os efeitos do prejuízo.

3) O cliente de um correspondente bancário, muito bravo, pergunta ao correspondente como faz para excluir os dados pessoais, pois
conhece a LGPD e não entendeu porque ele pediu informações sobre partido político e religião. Qual seria a conduta correta do
correspondente?

• 1) Explicar o motivo pelo qual pediu as informações sobre partido político e

religião.

• 2) Informar o contato responsável pelo tratamento de dados pessoais para que ele
possa requerer a exclusão, uma vez que por já ter enviado a documentação, não poderia
excluir.
• 3) Dizer que o cliente tem razão, não precisaria ter pedido essas informações e que
o cliente pode ficar tranquilo que não acarretará problema algum na aprovação, vez que
as informações são apenas para formar um banco de dados que melhor atenda às
necessidades dos clientes.
• 4) No mínimo se desculpar e informar que uma vez que os dados já foram
imputados no sistema, não há como exclui-los.

4) A Lei Geral de Proteção de Dados Pessoais faz distinção entre dados pessoais e dados pessoais sensíveis. Assinale um tipo de dado
que não se enquadra na categoria de dados sensíveis.

• 1) Convicção religiosa.

• 2) Dados biométricos.
• 3) Data de nascimento.
• 4) Filiação a sindicatos.

5) Sinalize o conceito correto:

• 1) Agente de tratamento: encarregado de tratamento de dados e operadores de

dados.
• 2) Dado anonimizado: dado que não possa identificar o titular.
• 3) ANPD: autoridade nacional de proteção de dados e respectivos controladores de
dados.
• 4) Dado pessoal: informação que identifique, possa identificar ou possa se tornar
um cliente, como titular de dados pessoais.

6) O titular dos dados pessoais tem direito à confirmação de existência ou acesso aos dados, mediante requisição. Como deve ser
atendida a requisição do titular?

• 1) Por meio eletrônico seguro ou impresso, a critério do titular.

• 2) Por meio eletrônico seguro ou impresso, de acordo com a forma de
armazenamento dos dados pelo operador ou controlador.
• 3) Por meio de uma declaração completa no prazo especificado pelo titular.
• 4) Nenhuma das alternativas está correta.

7) Um profissional autônomo que presta serviços de manutenção elétrica em domicílio, para várias empresas da construção civil, é
agente de tratamento conforme a LGPD?

• 1) Sim, pois ele recebe das empresas para as quais trabalha dados pessoais como
nome completo, endereço e telefone do domicílio onde vai prestar serviço.
• 2) Sim, pois ele representa no momento do serviço a empresa para qual trabalha e
pode danificar algo no domicílio.
• 3) Não, pois ele apenas presta o serviço em nome da empresa para qual trabalha,
que é a controladora dos dados pessoais.
• 4) Não, pois ele não tem vínculo algum com as empresas para as quais trabalha,
considerando que é autônomo.

8) De acordo com a LGPD, qualquer instituição que intervenha em uma das fases do tratamento de dados pessoais obriga-se a
garantir a segurança da informação desses dados, mesmo após o término do tratamento. Em relação a esta afirmativa podemos
afirmar que:

• 1) Está correta, de acordo com as normativas da Lei

• 2) Está parcialmente correta, visto que não há que se falar em obrigação até o
término de tratamento
• 3) Está incorreta, pois a responsabilidade é do controlador dos dados pessoais.
• 4) Nenhuma das alternativas anteriores está correta.
 9) Um correspondente recebe da Instituição Financeira para a qual trabalha um procedimento para atendimento ao cliente, com
novas regras sobre a LGPD. Assinale a resposta correta:

• 1) O correspondente aplica o procedimento aos clientes que possuam condições de

entender as informações que precisam ser transmitidas.

• 2) O correspondente aguarda o questionamento do cliente e caso o receba, cumpre

rigorosamente o procedimento enviado.
• 3) O correspondente aplica em parte o procedimento, uma vez que possui metas a
cumprir junto à Instituição Financeira
• 4) O correspondente aplica integralmente o procedimento, mesmo sem concordar
em tudo, pois, se trata de uma lei.

10) Para cumprir o princípio de livre acesso, o titular dos dados pessoais tem direito, por exemplo a:

• 1) Receber informação sobre a finalidade do tratamento dos seus dados, de forma

documentada, em até 15 dias após a disponibilização dos dados ao controlador.
• 2) Receber a informação dos dados do gerente responsável pela coleta dos dados,
para contatá-lo nos casos em que requeira o ressarcimento do pagamento, conforme o
Código de Defesa do Consumidor e a exclusão de dados pessoais
• 3) Receber a informação com quem os dados são compartilhados pelo controlador e
a finalidade do compartilhamento.

• 4) Todas as alternativas estão corretas.

11) Faz parte dos princípios da LGPD:

• 1) Necessidade: limitação do tratamento conforme metas da empresa.

• 2) Prevenção: medidas para prevenir erros operacionais que invalidem o pedido do
cliente;

• 3) Não discriminação: limitação de utilizar dados sensíveis e de crianças e

adolescentes.
• 4) Livre acesso: facilidade aos titulares, por exemplo sobre a forma e duração do
tratamento dos dados pessoais.
 12) De acordo com a LGPD, os dados pessoais devem ser eliminados após o término de seu tratamento, no âmbito e nos limites
técnicos das atividades. A conservação dos dados pessoais somente é autorizada para finalidades específicas. Assinale a alternativa
correta, em relação a estas finalidades:

• 1) Cumprimento de obrigação legal ou regulatória pelo controlador.

• 2) Estudos acadêmicos, para trabalhos individuais de conclusão de curso.

• 3) Transferência para operadoras de planos de saúde para análise de melhor preço.
• 4) Uso exclusivo do operador, vedado seu acesso por terceiro.

13) O correspondente, que trabalha com seu notebook pessoal para a instituição financeira XPTO, abriu uma mensagem com vírus e
simplesmente apagou todos os arquivos que tinha, inclusive o dos dados pessoais dos clientes. Qual a postura correta do
correspondente frente a essa situação:

• 1) Fica aliviado porque ele tem um pen drive com as informações do cliente e,
portanto, não as perdeu o que seria um problema para LGPD.
• 2) Fica preocupado em razão da LGPD e informa imediatamente o responsável na
instituição financeira, para avaliarem a criticidade da situação.

• 3) Fica desesperado, uma vez que pode ser responsabilizado pela perda dos dados
do notebook e abre um chamado da ANPD.
• 4) Nenhuma das posturas acima está correta.

14) São exemplos de incidentes com tratamento de dados pessoais:

• 1) Acesso indevido e perda de dados pessoais

• 2) Coleta excessiva de dados pessoais e golpes
• 3) Vazamentos e violação da privacidade
• 4) Todas as alternativas estão corretas

15) Em relação a ANPD, assinale a alternativa correta:

• 1) A ANPD é um órgão da administração pública federal responsável por zelar pela

proteção de dados pessoais e por fiscalizar o cumprimento da LGPD no Brasil.

• 2) A ANPD é a responsável no território nacional por definir os procedimentos

internos das empresas para o tratamento de dados pessoais e solicitar relatórios mensais
 sobre as auditorias internas que as empresas devem executar para avaliar a
conformidade com a LGPD.
• 3) A ANPD não pode intervir na aplicação de sanções administrativas quando
houver infrações à LGPD por parte das instituições privadas, uma vez que essa
responsabilidade é do PROCON
• 4) Todas as alternativas estão corretas.

A Lei determina que o titular de dados tem direito a receber do

16)

controlador, em relação aos dados por ele tratados, a qualquer

tempo e mediante requerimento expresso do titular ou de
representante legalmente constituído:

• 1) Informação das entidades públicas e privadas com as quais o controlador realizou

uso compartilhado de dados;
• 2) Confirmação da existência do tratamento
• 3) Acesso aos dados
• 4) Todas as alternativas estão corretas

17) Quando há dano patrimonial, moral, individual ou coletivo em razão da violação da LGPD, quem responde pela indenização ao
titular de dados?

• 1) O controlador dos dados, unicamente, já que ele é o agente de tratamento

responsável pelas decisões sobre o tratamento dos dados pessoais.
• 2) O operador dos dados, unicamente, já que é ele quem opera os dados pessoais e,
portanto, tem a responsabilidade pela proteção e quaisquer incidentes de segurança.
• 3) Tanto o controlador quanto o operador, solidariamente, quando o operador
descumprir as instruções do controlador.

• 4) Tanto o operador quanto o controlador, solidariamente, quando o controlador

descumprir as instruções do operador ou do encarregado de tratamento de dados
pessoais.

18) É considerado tratamento de dados pela LGPD:

• 1) Coleta e armazenamento de dados pessoais

• 2) Eliminação e acesso de dados pessoais
• 3) Utilização e processamento de dados pessoais
• 4) Todas as alternativas estão corretas

19) São fundamentos da LGPD:

• 1) A inviolabilidade da intimidade, da honra e da imagem e a autodeterminação

informativa.

• 2) O respeito à privacidade e o desenvolvimento econômico, político, ambiental e

tecnológico.
• 3) A liberdade de expressão pelos jornalistas e mídias em geral, e os direitos
humanos dos profissionais.
• 4) A dignidade e o exercício da cidadania e proteção aos direitos do trabalho.

20) A LGPD é aplicável:

• 1) A empresas que trabalham com e-commerce (vendas pela internet)

• 2) Para fins jornalísticos.
• 3) A todas as empresas, exceto as que realizam transferência internacional de dados
pessoais.
• 4) Todas as alternativas estão corretas.