LGPD eTítulo

Inserir GDPRAqui
Inserir Título Aqui
LGPD: Estudo Teórico

Responsável pelo Conteúdo:

Prof. Esp. Mark William Ormenese Monteiro

Revisão Textual:
Prof. Me. Luciano Vieira Francisco
 LGPD: Estudo Teórico

Nesta unidade, trabalharemos os seguintes tópicos:

Fonte: Getty Images

• Origem e Evolução do Direito à Privacidade;
• Princípios Fundamentais da Proteção de Dados Pessoais;
• Tratamento de Dados Pessoais Sensíveis;
• Direito dos Titulares e Dados Pessoais;
• Tratamento de Dados Pessoais pelo Poder Público;
• Responsabilidade e Ressarcimento de Danos;
• Boas Práticas e Governança de Dados Pessoais;
• Implementação de Conformidade Jurídica.

Objetivo
• Conhecer os desafios da mudança organizacional para o entendimento e a preparação de
planejamento de um negócio seguro.

Caro Aluno(a)!

Normalmente, com a correria do dia a dia, não nos organizamos e deixamos para o úl-
timo momento o acesso ao estudo, o que implicará o não aprofundamento no material
trabalhado ou, ainda, a perda dos prazos para o lançamento das atividades solicitadas.

Assim, organize seus estudos de maneira que entrem na sua rotina. Por exemplo, você
poderá escolher um dia ao longo da semana ou um determinado horário todos ou alguns
dias e determinar como o seu “momento do estudo”.

No material de cada Unidade, há videoaulas e leituras indicadas, assim como sugestões

de materiais complementares, elementos didáticos que ampliarão sua interpretação e
auxiliarão o pleno entendimento dos temas abordados.

Após o contato com o conteúdo proposto, participe dos debates mediados em fóruns de
discussão, pois estes ajudarão a verificar o quanto você absorveu do conteúdo, além de
propiciar o contato com seus colegas e tutores, o que se apresenta como rico espaço de
troca de ideias e aprendizagem.

Bons Estudos!
UNIDADE
LGPD: Estudo Teórico

Contextualização
Para iniciarmos esta Unidade, reflita sobre como a Lei Geral de Proteção de Dados,
ou popularmente conhecida como LGPD, assistindo ao documentário O dilema das
redes, já disponível a plataforma Netflix. Com este filme você entenderá a importância
da LGPD para regulamentar o tratamento de informações de pessoas no Brasil, infor-
mações usadas até então sem a permissão e o conhecimento dos titulares destes dados.

Desde a popularização da internet doméstica, na década de 1990, empresas e sites

usam cookies para diferentes necessidades e finalidades. Cookie é um arquivo de texto
que armazena no seu computador, por meio do seu navegador, as suas informações
pessoais, tais como nome, e-mail e outros dados que possam lhe identificar.

Na próxima vez que você acessar este site, ele saberá muito mais do que seu nome,
endereço, telefone, senhas gravadas ou itens adicionados ao carrinho de compras, de
modo que o cookie pode identificar quantas vezes você acessou a referida página, a
duração da visita, entre outras informações – as quais geralmente usadas para ações de
marketing, por exemplo.

Esta tecnologia surgiu para atender a demandas de lojas on-line, mas logo ganhou
diferentes propósitos e o fato de permitir o acesso às informações do visitante pode con-
figurar violação da privacidade desses usuários. Por isso a LGPD garante que os usuários
saibam da existência de cookies e autorize o uso dos mesmos.

Mas o uso de dados por empresas na internet vai muito além dos cookies. Sabe as in-
formações que você compartilha no Facebook, Instagram ou em outras redes sociais? São
monitoradas e rastreadas por grandes empresas e usadas para fins comerciais, políticos e
econômicos e isto é mostrado no documentário O dilema das redes. Por meio de depoimen-
tos de especialistas que já trabalharam em empresas como Pinterest, Google ou Twitter o
documentário evidencia os impactos negativos das redes sociais sobre as pessoas e como
as grandes empresas usam essas redes para manipular emoções e comportamentos.

Você poderá conferir o trailer no link. Disponível em: https://youtu.be/slNayjEi5bM

6
Origem e Evolução do Direito à Privacidade
O homem vive uma transformação social, econômica e cultural na qual a tecnologia
tem papel de destaque. Com a globalização e o surgimento de novas tecnologias como
a internet das coisas, o aprendizado de máquina e a inteligência artificial o interesse
por dados vem crescendo exponencialmente no mundo todo, a ponto de os dados serem
considerados o “novo petróleo”.

Com a popularização da internet e das redes sociais surgiram novas configurações de

relacionamentos e de práticas de socialização de informações. Sempre que você “curte”
uma postagem no Facebook ou Instagram, por exemplo, demonstra as suas preferências
por determinados temas ou assuntos.

Nos últimos anos surgiram novas práticas de coletas de informações pessoais. Você
já deve ter efetuado a compra de um livro em um site e teve de informar o número de
seu Cadastro de Pessoa Física (CPF) e endereço para a entrega, não é mesmo?

Com o aumento do compartilhamento de dados pessoais feito em transações como

a aqui descrita – para a compra de seu livro – e até à comercialização não consensual
houve apelo à privacidade e a exigência de regulamentação com normas e regras para
a coleta e o tratamento dos dados pelas empresas.

A União Europeia deu início à proteção da privacidade on-line em 2012. Em 2016

aprovou o Regulamento Geral de Proteção de Dados (GDPR), apontado como o maior
conjunto de proteção à privacidade on-line já criado desde o início da internet e que
obrigou empresas de todo o mundo, inclusive gigantes como o Facebook e Google, a
mudarem a forma como tratam os dados. Com a GDPR outros países deram início à
criação de inéditas leis sobre este tema.

Na Califórnia surgiu a California Consumer Privacy Act, ou Lei de Privacidade do

Consumidor da Califórnia, e no Brasil a regulamentação veio com a Lei n.º 13.709, ou
Lei Geral de Proteção de Dados (LGPD), aplicada a pessoas físicas e jurídicas, de direito
público e privado, que façam tratamentos de dados pessoais, seja a coleta, o armazena-
mento, compartilhamento ou a exclusão.

Que fique bem claro: a LGPD abrange empresas que trabalham de forma direta ou indireta
com dados pessoais, seja on-line ou off-line. Portanto, vai muito além do mundo virtual,
de modo que até o “Seu João, da mercearia da esquina”, precisará adequar a forma como
usa os dados dos clientes.

Com a vigência da LGPD a partir de setembro de 2020, muito tem se dito em pri-
vacidade digital. Mas você sabe exatamente o significado da palavra privacidade? Em
uma interpretação mais simplista, podemos dizer que a palavra se refere à vida privada,
particular ou íntima de alguém, sendo o direito de se estar só e ficar isolado da socieda-
de. O conceito do direito à privacidade, porém, é mais profundo e teve origem na Anti-
guidade, quando era associado à vida cotidiana e estava relacionado ao sentimento, algo
que as pessoas aspiravam. Era limitado à classe burguesa ou de pessoas que moravam
em lugares mais distantes do restante da comunidade.

7
7
UNIDADE
LGPD: Estudo Teórico

A mudança foi iniciada a partir do século XI, com as transformações na sociedade

feudal, o aumento da produção agrícola, desenvolvimento do comércio e da formação
de novas organizações da vida cotidiana e separação de classes.

A privacidade se tornou direito fundamental e da personalidade somente no século

XIX, após o célebre ensaio O direito à privacidade, publicado pelos advogados Samuel
D. Warren e Louis D. Brandeis, na Harvard Law Review, em 15 de dezembro de 1890.
Warren decidiu publicar o artigo depois da divulgação, não autorizada e nos jornais da
época, de fatos íntimos acerca do casamento de sua filha.

No Brasil, o direito à privacidade é garantido desde 1988, pelo Artigo 5º, Inciso X,
da Constituição da República Federativa do Brasil, que diz:

Todos são iguais perante a lei, sem distinção de qualquer natureza, ga-
rantindo-se aos brasileiros e aos estrangeiros residentes no País, a in-
violabilidade do direito à vida, à liberdade, à igualdade, à segurança e à
propriedade, nos termos seguintes:
[...]
X – são invioláveis a intimidade, a vida privada, a honra e a imagem das
pessoas, assegurado o direito a indenização pelo dano material ou moral
decorrente de sua violação.

O direito à privacidade também é citado no Artigo 21 do Código Civil, que diz que:
“A vida privada da pessoa natural é inviolável, e o juiz, a requerimento do interessado, adotará
as providências necessárias para impedir ou fazer cessar ato contrário a esta Norma”.
No início da década de 2000, com o surgimento de redes sociais como Orkut e pos-
teriormente Facebook, Twitter e Instagram, e de grandes marcas como Amazon, o que
antes era feito presencialmente ou por telefone, passou a ser feito por e-mails, pela troca
de mensagens e outras ferramentas digitais. Surgiu, então, o relacionamento baseado na
internet, que trouxe novas oportunidades de negócios. Paralelamente surgiu uma nova
matéria-prima: o dado.
É dessa época a promulgação do Marco Civil da Internet (Lei n.º 12.965/2014),
que disciplina o uso da internet no Brasil e regula direitos e deveres dos internautas na
navegação. Assim como a LGPD, tem como foco proteger os dados pessoais e a priva-
cidade dos usuários.
Nos últimos anos a expressão privacidade digital é cada vez mais usual, mas que
fique bem claro: privacidade e proteção de dados são questões diferentes.

Por exemplo, se uma pessoa publicar um dado em sua página pesso-

al numa rede social, ele se torna público. Entretanto, isso não significa
que este dado pode ser utilizado indiscriminadamente. Aquele que vier a
utilizá-lo, deve respeitar os direitos do Titular do dado, previstos na LGPD.
Tais dados, portanto, não estão sob a égide do princípio constitucional da
privacidade, mas sim sob o escopo da proteção de dados. (GARCIA et al.,
2020, p. 18)

A promulgação da LGPD modifica, altera e amplia os conceitos do Código Civil e do

Marco Civil da Internet. A LGPD está centrada mais nas circunstâncias de tratamento
dos dados fornecidos pelos usuários.

8
Contexto Histórico da Proteção de Dados Pessoais,
Dado, Informação Conhecimento e Sabedoria
Conforme já citado, o surgimento de novas tecnologias e, consequentemente, iné-
ditas configurações de relacionamentos e de práticas de socialização de informações,
cobraram novas abordagens sobre o tema privacidade, concretizadas com a publicação
da LGPD, promulgada para disciplinar a forma como empresas e entes públicos podem
coletar e tratar informações de pessoas. A Lei estabelece direitos, assegurando a priva-
cidade e proteção de dados pessoais.

Segundo a LGPD, dados são informações que podem identificar alguém. Mas você
sabe realmente o que é dado e o que é informação? Para facilitar o seu entendimento
vejamos este conceito por meio da pirâmide do conhecimento, ou hierarquia DIKW
– Data, Information, Knowledge, Wisdom –, difundida pelo pesquisador Russel Ackoff,
na década de 1980.

Seguindo este conceito, os dados correspondem à base da pirâmide, que também é

composta por outros componentes, hierarquizados desta forma:

Inteligência

Conhecimento

Informação

Dados

Figura 1

Traduzindo a pirâmide, temos o seguinte:

• Dados: são as informações brutas, não tratadas, que isolados não têm significado;
• Informação: são os dados tratados que, reunidos, têm significado;
• Conhecimento: reunião de informações trabalhadas;
• Sabedoria: é a forma como você usará tudo isso.

Leia o artigo em que Thainã Monteiro faz uma analogia lúdica entre os conceitos da pirâ-
mide e pingos de chuva. Disponível em: https://bit.ly/3eeJ8Dd

9
9
UNIDADE
LGPD: Estudo Teórico

Sociedade da Informação, sua Formação e o Valor dos Dados

Na Era atual, onde a informação, o conhecimento e as inovações tecnológicas são
cada vez mais importantes para a sociedade, surgiram inéditos conceitos e um deles é
sociedade da informação, que explica o mundo contemporâneo.
A expressão “sociedade da informação” tornou-se de uso corrente em um
vasto conjunto de discursos científicos, políticos, econômicos e jornalísti-
cos há mais de um quarto de século. A partir dos anos 1970, ela define
uma sociedade que seria cada vez mais caracterizada pela informação,
pela comunicação, pelo saber e pelo conhecimento. Mas também, e so-
bretudo, pelos dispositivos técnicos capazes de veicular tais informações,
saberes e conhecimentos. Mas foi no início do século XXI que a expres-
são “sociedade da informação” conheceu seu auge, principalmente com
a organização de dois encontros mundiais organizados pela União Inter-
nacional das Telecomunicações, com o apoio das Nações Unidas, em
Genebra (2003) e na Tunísia (2005). (GEORGE, 2011, p. 45)

Paralelamente ao novo conceito, que ganhou destaque na década de 1990 com o

avanço das Tecnologias de Informação e Comunicação (TIC) e difusão da internet, sur-
giu uma nova matéria-prima: o dado, à época um ativo imensamente inexplorado.
Novos estudos foram realizados e descobriu-se que o dado é um “tijolo” fundamental
para a construção desta nova Era e sociedade. Em 2017, em artigo publicado no The
Economist, o matemático londrino Clive Humby citou que “dados são o novo petróleo”
e a frase vem sendo repetida no mundo dos negócios.
As empresas que entenderem este conceito e souberem explorar o bom uso dos dados
terão grandes vantagens. Todavia, como você viu no item anterior, um dado isolado não
tem significado, mas a maneira como você o coletará, analisará e usará pode transformar
este dado em um ativo imensamente valioso, com infinitas possibilidades, tais como:
• Evitar catástrofes – como um tsunami;
• Salvar vidas;
• Combater superbactérias;
• Entender como chegamos ao futuro dos antivírus;
• Aumentar vendas;
• Encontrar devedores;
• Influenciar pessoas;
• Orientar as tomadas de decisões políticas, econômicas e sociais.
Com os dados podemos descobrir coisas novas, mas quando olhamos ao que aconte-
ce na humanidade, temos de pensar também o lado obscuro dos dados e nos questionar:
o que fazer com os dados que você nem sabe que produz, mas que estão em uma
base que permite fazer o que quisermos?
Como você viu, a sociedade da informação trouxe a maior riqueza dos novos tempos,
mas trouxe também um grande desafio: a capacidade de usar estes dados de uma forma
analítica e inteligente – por isto mesmo se faz necessária uma lei de regulamentação
desta prática.

10
Princípios Fundamentais da
Proteção de Dados Pessoais
Antes de tratarmos dos princípios fundamentais da proteção, é preciso que você en-
tenda o significado de tratamento de dados.

Quando mencionamos tratamento de dados, referimo-nos a toda ação realizada

com dados pessoais, tais como coleta, produção, recepção, classificação, utilização,
acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armaze-
namento, eliminação, avaliação e controle da informação, modificação, comunicação,
transferência, difusão ou extração.

Lembre-se do mencionado uso de cookies por sites, de modo que com a vigência
da LGPD no Brasil, desde setembro de 2020, as empresas se tornaram obrigadas a in-
formar ao usuário a política de cookies. Você já deve ter acessado uma página em que
abre um pop up com a informação de que aquele site utiliza cookies e outras tecnologias
semelhantes para melhorar a sua experiência, de acordo com a política de privacidade,
de modo que ao continuar navegando, você concordará com tais condições. Este aviso
ao internauta é uma adequação à nova legislação.

O Artigo 6º da LGPD dispõe sobre os princípios fundamentais da proteção de dados

de pessoais, mas antes de listá-los consideremos que a boa-fé no tratamento de dados
pessoais é premissa básica. Ou seja, antes de se usar os dados de alguém, é preciso le-
vantar questões como: “Qual é o objetivo deste tratamento?” “É preciso mesmo utilizar
essa quantidade de dados?” “O cidadão com quem me relaciono deu o consentimento?”
“O uso dos dados pode gerar alguma discriminação?”

Além da boa-fé, os princípios estabelecidos nesse artigo da LGPD são:

• Finalidade: especificada e informada explicitamente ao titular;
• Adequação à finalidade previamente acordada e divulgada;
• Necessidade do tratamento, limitado ao uso de dados essenciais para alcançar a
finalidade inicial;
• Livre acesso: fácil e gratuito das pessoas à forma como os seus dados são tratados;
• Qualidade dos dados: deixando-os exatos e atualizados, segundo a real necessi-
dade no tratamento;
• Transparência, ao titular, com informações claras e acessíveis sobre o tratamento e
os seus responsáveis;
• Segurança para coibir situações acidentais ou ilícitas, tais como invasão, destruição,
perda ou difusão;
• Prevenção contra danos ao titular e aos demais envolvidos;
• Não discriminação, ou seja, não permitir atos ilícitos ou abusivos;
• Responsabilização do agente, o qual obrigado a demonstrar a eficácia das medi-
das adotadas.

11
11
UNIDADE
LGPD: Estudo Teórico

Tratamento de Dados Pessoais Sensíveis

Na LGPD você encontrará três tipos de dados:

O dado pessoal é aquele que pode identificar direta ou indiretamente uma pessoa
com referência a um identificador. Aqui temos uma subdivisão do dado pessoal relacio-
nada à pessoa natural:
• Identificada:
» Nome;
» Registro Geral (RG);
» CPF.
• Identificável: são aquelas informações que podem identificar uma pessoa direta ou
indiretamente por meio de referências como:
» Profissão;
» Especialidade;
» Idade;
» Naturalidade;
» Empresa;
» Formação.

Quando mencionamos dados anônimos, tratam-se de entes que não podem ser
identificados, ou seja, dados de consumo ou estatísticos. Ainda que seja referente a uma
pessoa (ou grupos de pessoas), não permite a identificação de seu titular.

Já os dados sensíveis são aqueles que podem gerar algum tipo de discriminação
para o seu titular, tais como:
• Orientação sexual;
• Convicções religiosas, filosóficas ou morais;
• Opiniões políticas;
• Filiação sindical ou à organização de caráter religioso;
• Histórico criminal;
• Dados referentes à saúde;
• Dados genéticos ou biométricos, quando vinculados a uma pessoa natural.

Requisitos para o Tratamento de Dados Pessoais

Depois de entender os princípios fundamentais para a proteção de dados, você pre-
cisa saber quais são os requisitos necessários para fazer o tratamento de dados pessoais.
Ou seja, você só poderá coletar, usar, reproduzir, distribuir ou até arquivar dados seguin-
do estas hipóteses, descritas na LGPD:
• Mediante o fornecimento de consentimento pelo titular;

12
 • Para o cumprimento de obrigação legal ou regulatória pelo controlador;
• Pela administração pública, para o tratamento e uso compartilhado de dados ne-
cessários à execução de políticas públicas previstas em leis e regulamentos ou res-
paldadas em contratos, convênios ou instrumentos congêneres, observadas as dis-
posições do Capítulo IV desta Lei;
• Para a realização de estudos por órgão de pesquisa, garantida, sempre que possí-
vel, a anonimização dos dados pessoais;
• Quando necessário para a execução de contrato ou de procedimentos preliminares
relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
• Para o exercício regular de direitos em processo judicial, administrativo ou arbitral, este
último nos termos da Lei n.º 9.307, de 23 de setembro de 1996 (Lei de arbitragem);
• Para a proteção da vida ou incolumidade física do titular ou de outrem;
• Para a tutela da saúde, exclusivamente, em procedimento realizado por profissio-
nais de saúde, serviços de saúde ou autoridade sanitária;
• Quando necessário para atender aos interesses legítimos do controlador ou de ou-
trem, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular
que exijam a proteção dos dados pessoais; ou
• Para a proteção do crédito.

Direito dos Titulares e Dados Pessoais

A LGPD empoderou a pessoa física e impõe como principal objetivo proteger o
direito de liberdade e privacidade do indivíduo, que agora tem assegurada a titularidade
de seus dados pessoais. E o que isto significa? Que você ou qualquer pessoa física pode
pedir para acessar os seus dados em uso por uma organização, a quem foram repassa-
dos (em situações como a de reutilização por “legítimo interesse”) e para qual finalidade.
Pode ainda pedir a eliminação ou correção destes dados, caso entenda que estão incom-
pletos ou desatualizados, por exemplo.

A Lei apresenta princípios para garantir informações claras ao titular dos dados e im-
posição de limitações ao seu tratamento. Mas antes de exigir os seus direitos na LGPD,
é necessário conhecê-los:
• A confirmação da existência de tratamento;
• O acesso aos dados mantidos pelo controlador que lhes diz respeito;
• A correção de dados incompletos, inexatos ou desatualizados;
• A anonimização, o bloqueio ou a eliminação de dados, desde que sejam conside-
rados desnecessários, excessivos ou tratados em desconformidade com o disposto
na LGPD;
• A portabilidade de seus dados pessoais a outro fornecedor de serviço;
• A eliminação dos dados pessoais quando retirado o consentimento dado anteriormente;
• A relação de com quem os seus dados foram compartilhados;

13
13
UNIDADE
LGPD: Estudo Teórico

• A informação de que poderá negar consentimento e quais as suas consequências;

• A revogação do consentimento.

Para se aprofundar sobre os direitos do titular de dados pessoais segundo os termos da

LGPD. Disponível em: https://bit.ly/2QHELYl

Agentes de Tratamento dos Dados Pessoais: Controlador,

Operador e Encarregado dos Dados e Demais Atores
Até agora abordamos os princípios e entramos em detalhes sobre o tratamento de
dados. Mas quem trata os dados? Quem são os responsáveis pelos dados em uma em-
presa? Se na sua empresa ainda não há pessoas designadas para cuidar dos dados e
cumprir as regras que regem a LGPD, faça isto já. Este é um dos primeiros passos para
a implantação da legislação em sua empresa.
Estas pessoas são chamadas de atores da LGPD e têm as suas respectivas funções
relativas ao tratamento de dados, a saber:
• Controlador de dados pessoais: é aquele que toma as decisões referentes ao tra-
tamento de dados pessoais, determinando as funcionalidades, condições e os meios
do processamento dos dados. Trata-se de pessoa física ou jurídica, de direito público
ou privado, a quem compete as decisões referentes ao tratamento de dados pesso-
ais. Responde pelos danos patrimoniais, morais, individuais ou coletivos, tais como
violações à legislação (dever de reparação). Responde solidariamente pelos danos
causados pelo operador, se diretamente envolvido no tratamento que resultar em
danos de dados pessoais;
• Operador de dados pessoais: pessoa física ou jurídica, de direito público ou priva-
do, que realiza o tratamento de dados pessoais em nome do controlador. Responde
pelos danos patrimoniais, morais, individuais ou coletivos, tais como violações à
legislação (dever de reparação). Responde solidariamente caso descumpra a legis-
lação, equiparando-se ao controlador caso não houver seguido as instruções deste;
• Encarregado: pessoa indicada pelo controlador para atuar como canal de comunica-
ção entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção
de Dados.

A fiscalização do cumprimento da LGDP é realizada pela Autoridade Nacional de

Proteção de Dados Pessoais (ANPD), órgão da administração pública federal respon-
sável por zelar pela proteção de dados pessoais. A ANPD deve garantir a devida pro-
teção aos direitos fundamentais de liberdade, privacidade e livre desenvolvimento da
personalidade dos indivíduos.

Apesar de ser um órgão da administração pública federal direta, possui algumas ca-
racterísticas institucionais que lhe conferem maior independência, tais como a autonomia
técnica e decisória e o mandato fixo de seus diretores.

14
Tratamento de Dados Pessoais de Crianças e de Adolescentes
A legislação brasileira considera criança a pessoa de até 12 anos de idade incomple-
tos e o adolescente entre 12 e 18 anos de idade.

No Artigo 14 da LGPD, o tratamento de dados pessoais de crianças deverá ser rea-

lizado em seu melhor interesse e com o consentimento específico e em destaque dado
por, pelo menos, um dos pais ou pelo responsável legal.

Aqui deve-se ter uma atenção especial do controlador para verificar que o consenti-
mento do tratamento dos dados realmente foi fornecido pelo responsável. A única exce-
ção, neste caso, é a coleta de dados sem o consentimento justamente para fazer contato
com o responsável pela criança, de modo que estes dados não poderão ser armazenados.

Término do Tratamento de Dados

O Artigo 15 da LGPD traz quatro hipóteses para o término do tratamento de dados
pessoais:
• Verificação de que a finalidade foi alcançada ou de que os dados deixaram de ser
necessários ou pertinentes ao alcance da finalidade específica almejada;
• Fim do período de tratamento;
• Comunicação do titular;
• Determinação da autoridade nacional.

Neste item é importante observar que o tratamento de dados deve ser encerrado tão
logo a finalidade da coleta seja alcançada – e neste caso podemos usar como exemplo
uma compra on-line.
Os dados pessoais deverão ser eliminados após o término de seu tratamento, salvo se de
outra forma a sua guarda for autorizada pela LGPD, tal como o emprego de anonimização.

Tratamento de Dados
Pessoais pelo Poder Público
A aplicabilidade da LGPD se estende a empresas públicas e privadas que façam qual-
quer tipo de tratamento de dados pessoais e o Poder Público está inserido no contexto
e deve se adequar às normas.
Nos moldes do Artigo 23 da LGPD, o tratamento de dados pelas pessoas jurídicas de
direito público deverá ser feito em atendimento de sua finalidade pública, na persecução
do interesse público, com o objetivo de executar as competências legais ou cumprir as
atribuições legais do serviço público e, desde que, no exercício de suas competências,
sejam informadas as hipóteses em que se realiza o tratamento de dados pessoais, forne-
cendo informações claras e atualizadas sobre a previsão legal, finalidade, as práticas e os
procedimentos utilizados para a execução dessas atividades, em veículos de fácil acesso,
preferencialmente em seus sites.

15
15
UNIDADE
LGPD: Estudo Teórico

O mesmo Artigo discorre sobre a necessidade da indicação de um encarregado para

as operações de tratamento de dados pessoais para zelar pelo bom uso e pela segurança
das informações.

O Artigo não aborda o compartilhamento ou tratamento de dados sensíveis, o que abre

espaço para que informações biométricas, por exemplo, venham a ser tratadas em nome
da segurança pública. A coleta de tais dados iniciou-se em 2008, com o recadastramento
biométrico pelo Tribunal Superior Eleitoral (TSE) e expandiu-se com a coleta de dados
biométricos para a renovação de passaporte e da Carteira Nacional de Habilitação (CNH).

Responsabilidade e
Ressarcimento de Danos
O Artigo 42 da LGPD diz que o controlador ou operador que, em razão do exercício
de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral,
individual ou coletivo, em violação à legislação de proteção de dados pessoais, será obri-
gado a repará-lo e a responder solidariamente em caso de descumprimento da legislação.

Ainda na Seção III da Lei, que discorre sobre a responsabilidade e do ressarcimento

de danos, a redação é semelhante à do Código de Defesa do Consumidor (CDC), que
define defeito do produto e do serviço (Art. 12, § 1º e 14, § 1º).

Pelo Artigo 42 da LGPD tanto o controlador quanto o operador serão obrigados a

reparar os danos decorrentes da violação à legislação de proteção de dados. E mais, o
Parágrafo único do mesmo Artigo define que o operador será responsável solidariamen-
te quando não observar as obrigações impostas pela Norma ou as instruções lícitas do
controlador. Sendo assim, ao enquadrar os servidores ou empregados como operadores
de dados, ambos seriam igualmente responsáveis pelos danos sofridos pelo titular dos
dados pessoais tratados, respectivamente, pelo órgão público ou pela empresa.

Segundo a nossa Constituição Federal, toda atuação do agente público deve ser im-
putada ao órgão que este representa, ou seja, à pessoa jurídica para a qual trabalha – e
não à sua pessoa –, devendo a ação por danos causados por agente público ser ajuizada
contra o Estado ou a pessoa jurídica de direito privado prestadora de serviço público,
sendo parte ilegítima para a ação o autor do ato, assegurado o direito de regresso contra
o responsável nos casos de dolo ou culpa.

Do mesmo modo, tratando-se do empregado, há previsão semelhante nos artigos 932,

Inciso III, e 933 do Código Civil, sendo o empregador responsável pela reparação civil,
independentemente da prova de sua culpa, por seus empregados e prepostos em virtude
de danos decorrentes do exercício do trabalho ou em razão dele.

É fato que ainda não existe um consenso sobre o tema, o que gera insegurança
jurídica e um ambiente perigoso, sobretudo, em tempos de corrida à implementação
da LGPD e diante dos frequentes ataques hackers aos órgãos públicos. Cabe, então, à
Autoridade Nacional de Proteção de Dados resolver a controvérsia mediante a fixação
de uma interpretação uniforme.

16
 Enquanto isso, onde a temática suscita dúvidas e, como a Lei não trata o ponto de
forma expressa – assim como tantos outros conceitos, por ora, indeterminados –, cabe
aos operadores da Lei firmarem posicionamentos compatíveis com o contexto colocado,
calculando a maior proteção aos direitos dos titulares de dados pessoais.

Diante do exposto, é importante que as empresas se atentem para a correta aplicação

das boas práticas de segurança de dados. Com o aumento de transações pela internet e
compartilhamentos de informações e dados pessoais na web e em servidores, os riscos
de vazamentos são cada vez maiores e podem causar grandes danos à reputação das
empresas, perdas financeiras, interrupções operacionais ou implicações legais.

Só para citar um exemplo, você deve se lembrar do caso envolvendo o Facebook, que
ultrapassou a esfera digital e ganhou repercussão internacional. O escândalo veio à tona
em 2018, quando a empresa de marketing Cambridge Analytica teve acesso a 87 mi-
lhões de usuários da Rede Social e usou os dados indevidamente para realizar anúncios
direcionados. A consultoria usou as informações a serviço da campanha presidencial do,
então candidato, Donald Trump. Este caso foi apenas para reforçar a importância das
medidas preventivas adequadas para evitar que a sua empresa seja mais uma vítima de
ataques cibernéticos.

Boas Práticas e Governança

de Dados Pessoais
Este tema é abordado no Artigo 46 da LGPD, que discorre sobre os agentes de tra-
tamento, os quais devem adotar medidas de segurança, técnicas e administrativas aptas
a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou
ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento
inadequado ou ilícito. Ou seja, somente pessoas autorizadas podem ter acesso aos dados.

Conforme mencionado, os padrões mínimos para esse tipo de proteção poderão

ser dispostos pela ANPD, levando-se em consideração o tipo de tratamento realizado e
as possibilidades atuais da tecnologia. É a ANPD a responsável por zelar pela proteção
dos dados pessoais, com base na legislação; por elaborar as diretrizes para a política
nacional de proteção de dados pessoais e da privacidade; alterar procedimentos, criar e
gerenciar canais de atendimento, manter contato com órgãos internacionais da mesma
natureza, fiscalizar e aplicar sanções nos casos de tratamento de dados que descumpri-
rem a legislação, por meio de processo administrativo.

Quando o Artigo discorre sobre os cuidados que deverão ser observados desde a fase
de concepção do produto ou serviço até a sua execução, aproxima a LGPD do conceito
de privacy by design, ou privacidade desde a concepção. Pelas diretrizes deste conceito,
em qualquer projeto de uma organização que envolva o processo de dados pessoais
(aos novos produtos e serviços, incluindo o desenvolvimento de sistemas, hardwares,
softwares e de processos internos), os agentes de tratamento devem manter a proteção
e privacidade dos dados a cada passo.

17
17
UNIDADE
LGPD: Estudo Teórico

Para se aprofundar sobre as boas práticas de governança leia o material.

Disponível em: https://bit.ly/3aZg7ZW

Implementação de Conformidade Jurídica

A LGPD impacta profundamente as empresas e traz sanções pesadas que podem cau-
sar grandes prejuízos, por isto é importante as adequações e o cumprimento da legislação.

As sanções variam da advertência, com indicação de prazo para adoção de medidas

corretivas; multa simples, de até 2% do faturamento da pessoa jurídica de direito pri-
vado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos,
limitada, no total, a cinquenta milhões de reais por infração; multa diária, observado o
limite total a que se refere ao anterior; publicização da infração após devidamente apu-
rada e confirmada a sua ocorrência; bloqueio dos dados pessoais até a sua regularização
e eliminação dos dados pessoais, referentes à infração.

Para evitar tais sanções o mais recomendado é iniciar imediatamente as adequa-

ções. O primeiro passo é nomear, qualificar ou contratar três profissionais que possam
cumprir com os papéis de controlador, operador e encarregado e, assim, formar a sua
equipe de tratamento de dados.

Especialistas recomendam que o profissional tenha conhecimento sobre legislação e

boas práticas de proteção de dados.

O processo que você deve seguir para desenhar a gestão organizacional de sua em-
presa deve ser este:
• Conheça a LGPD;
• Busque uma consultoria jurídica especializada;
• Busque uma consultoria de segurança da informação ou TIC;
• Reúna todos e faça um diagnóstico preciso da situação atual e desenvolva um plano
para as mudanças;
• Elenque os momentos de risco e mapeie as fragilidades de cada setor envolvido
com o tráfego de dados;
• Saiba como são coletados, armazenados e quem é o responsável direto por cada etapa
do tráfego de dados;
• Verifique a existência de sistemas de proteção, tais como senhas e criptografia – caso
não existam;
• Redefina todos os processos que envolvem dados pessoais e sensíveis dos colabo-
radores, garantindo a segurança;
• Eduque a equipe envolvida, crie regras claras sobre a disseminação de informações
confidenciais.
Por fim, acesse o Material Complementar e realize a Atividade de Sistematização
desta Unidade para reforçar o conhecimento adquirido.

18
Material Complementar
Indicações para saber mais sobre os assuntos abordados nesta Unidade:

Livros
Tratado de proteção de dados pessoais.
BIONI, B. Tratado de proteção de dados pessoais. [S.l.]: Forense, 2020.

Vídeos
Privacidade e Proteção de Dados no Brasil | Carlos Affonso Souza | TEDxPetrópolis
https://youtu.be/Zau-x-j_Uu8

Leitura
Guia de Boas Práticas segundo a Lei Geral de Proteção de Dados (LGPD)
https://bit.ly/2RjIDyv
Guia para a Lei Geral de Proteção de Dados
https://bit.ly/3nK9RKN
Série LGPD
https://bit.ly/3nNMzUi

19
19
UNIDADE
LGPD: Estudo Teórico

Referências
BRASIL. Lei n.º 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados
Pessoais (LGPD). Brasília, DF, 2018. Disponível em: <http://www.planalto.gov.br/cci-
vil_03/_ato2015-2018/2018/lei/L13709.htm>. Acesso em: 10/11/2020.

________. Constituição da República Federativa do Brasil. Brasília, DF, 1988. Dispo-

nível em: <https://www2.senado.leg.br/bdsf/bitstream/handle/id/518231/CF88_Livro_
EC91_2016.pdf>. Acesso em: 18/04/2021.

GARCIA, L. R. et al. Lei Geral de Proteção de Dados (LGPD) – guia de implantação.

[S.l.]: Blucher, 2020.

GEORGE, É. Da “sociedade da informação” à “sociedade 2.0”: o retorno dos dis-

cursos “míticos” sobre o papel das TICs nas sociedades. 2011. Disponível em: <https://
casperlibero.edu.br/wp-content/uploads/2014/05/1-Da-%E2%80%9Csociedade-da-
-informa%C3%A7%C3%A3o%E2%80%9D-%C3%A0-%E2%80%9Csociedade-
-2.0%E2%80%9D.pdf>. Acesso em: 18/04/2021.

MATTOS, F. Guia para a Lei Geral de Proteção de Dados. 2018. Disponível em:
<https://www.legiscompliance.com.br/images/pdf/cartilha_lgpd_mattosfilho.pdf>.
Acesso em: 10/11/2020.

20