Descomplicando A LGPD

DESCOMPLICANDO A LGPD
O EFEITO PRÁTICO DA LEI
1ª Edição
Copyright © 2022 Miquéias Micheletti; Túlio Tito Borges;
Deborah Gomes Costa Todos os direitos reservados.
Proibida a reprodução total ou parcial, por qualquer meio ou

processo, especialmente por sistemas gráficos, microfílmicos,
fotográficos, reprográficos, fonográficos, videográficos.
Vedada a memorização e/ou recuperação total ou parcial, bem
como a inclusão de qualquer parte desta obra em qualquer
sistema de processamento de dados. Essas proibições aplicam-
se também às características gráficas da obra e à sua editoração.
A violação dos direitos autorais é punível como crime (art. 184
e parágrafos, do Código Penal), com pena de prisão e multa,
conjuntamente com busca e apreensão e indenizações diversas
(arts. 101 a 110 da Lei nº 9.610, de 19.02.1998, Lei dos Direitos
Autorais).
Os autores gozam da mais ampla liberdade de opinião e de
crítica, cabendo-lhes a responsabilidade das ideias e conceitos
emitidos em seu trabalho.
Título: Descomplicando a LGPD – o efeito prático da lei
Publicado no Brasil
SUMÁRIO
PREFÁCIO .................................................................................... 8
APRESENTAÇÃO ........................................................................10
1. A LEI E SEUS OBJETIVOS ......................................................16
2. TRATAMENTO DE DADOS E FUNDAMENTOS DA LGPD......21
3. A ABRANGÊNCIA DA LEI ........................................................25
4. OS PRINCÍPIOS DA LEI E SUAS PARTICULARIDADES ........28
5. DADO PESSOAL E DADO PESSOAL SENSÍVEL ...................32
6. TRATAMENTO DE DADOS......................................................35
7. O BANCO DE DADOS PARA EFEITOS DA LEI .......................36
8. OS ATORES DA LGPD ............................................................41
9. CONSENTIMENTO DO TITULAR DE DADOS .........................43
10. OUTRAS HIPÓTESES DE TRATAMENTO DE DADOS .........46
11. O USO DE DADOS DE CRIANÇAS .......................................55
12. O TRATAMENTO DE DADOS PÚBLICOS .............................58
13. ANONIMIZAÇÃO E PSEUDONIMIZAÇÃO .............................61
14. CICLO DE VIDA DO DADO ....................................................64
15. DIREITOS DO TITULAR .........................................................67
16. O PAPEL DOS AGENTES DE TRATAMENTO .......................70

17. A RESPONSABILIDADE DO COLABORADOR ......................74
18. A RESPONSABILIDADE DO OPERADOR .............................77
19. O ENCARREGADO DE DADOS.............................................79
20. A ANPD E SEU PAPEL ..........................................................84
21. A APLICAÇÃO DA LGPD AO PODER PÚBLICO ...................85
22. TRANSFERÊNCIA INTERNACIONAL DE DADOS PESSOAIS

.....................................................................................................93
23. A VPN COMO MANOBRA DA LEI ..........................................96
24. POR QUE SE ADEQUAR À LGPD .........................................98
25. SEGURANÇA DA INFORMAÇÃO ........................................100
26. AS PRINCIPAIS AMEAÇAS EM SEGURANÇA DA

INFORMAÇÃO ...........................................................................104
27. PUBLICIDADE DO INCIDENTE DE SEGURANÇA ..............109
28. AS SANÇÕES ......................................................................111
29. AS MEDIDAS QUE DEVEM SER ADOTADAS .....................113
30. PLANO DE AÇÃO.................................................................118
31. DATA MAPPING ...................................................................119
32. ADEQUAÇÃO CONTRATUAL ..............................................120
33. IMPLEMENTAÇÃO DE POLÍTICAS .....................................121
34. O CANAL DO TITULAR ........................................................123
35. O RIPD .................................................................................127

36. COMO PROVAR INOCÊNCIA ..............................................131
37. IMPACTO DA LGPD NAS RELAÇÕES TRABALHISTAS .....133
38. IMPACTO DA LGPD NAS VENDAS .....................................137
39. IMPACTO DA LGPD NOS CONDOMÍNIOS..........................143
40. IMPACTO DA LGPD NOS ESCRITÓRIOS DE

CONTABILIDADE .......................................................................164
41. IMPACTO DA LGPD NO MERCADO IMOBILIÁRIO .............167
42. IMPACTO DA LGPD NO SETOR LOGÍSTICO .....................170
43. IMPACTO DA LGPD NAS ESCOLAS ...................................174
44. IMPACTO DA LGPD NO SETOR DA SAÚDE ......................179
45. IMPACTO DA LGPD NAS CORRETORAS DE SEGURO .....180
46. IMPACTO DA LGPD NO COMÉRCIO EM GERAL ...............182
47. IMPACTO DA LGPD NOS SINDICATOS E ASSOCIAÇÕES 183
48. IMPACTO DA LGPD NOS INSTITUTOS DE PESQUISA .....185
49. CASE: INCIDENTE ENVOLVENDO UMA CORRETORA DE

SEGUROS E UM CONDOMÍNIO ...............................................186
50. CASE: VAZAMENTO DE INFORMAÇÃO EM UM

CONDOMÍNIO ............................................................................188
51. CASE: CONSTRUTORA E CONDOMÍNIO ...........................189
52. CASE: PASTOR COM HIV ...................................................190
53. CASE: ATESTADO MÉDICO ................................................191

54. CASE: PIOR FUNCIONÁRIO ...............................................192
55. CASE: IMAGEM DO FUNCIONÁRIO....................................193
56. CASE: OFICIAL DE JUSTIÇA...............................................194
57. CASE: ACESSO À BASE DE DADOS DA IMOBILIÁRIA ......195
58. CASE: SINDICATO E JORNAL ............................................196
REFERÊNCIAS BIBLIOGRÁFICAS ............................................197

PREFÁCIO
Em uma sociedade que experimenta, cada vez

mais, uma profunda e acelerada transformação digital, há o
advento da Lei 13.709/2018 – a LGPD, cujo objetivo principal
é criar um escopo regulatório de proteção para a privacidade
e para os dados pessoais dos indivíduos.
O fato é que nos últimos anos, viu-se um aumento

exponencial do fluxo de transações com dados pessoais, o
que acabou por criar ramos de negócios inteiramente novos e
aumentar a eficiência de diversos setores da economia, como,
por exemplo, os aplicativos de transporte ou de monitoramento
da saúde.
Neste diapasão, a LGPD impacta todas as áreas da

sociedade, e sua promulgação visa proporcionar uma maior
estabilidade e segurança jurídica para os diversos ramos de
negócios existentes e que deverão surgir nos próximos anos,
derivados desta transformação digital sem precedentes.
Como já se esperava, é uma legislação que tem um

imenso impacto econômico, social e regulatório, e cuja
implementação pelas empresas e órgãos públicos não se trata
de uma tarefa simples, considerando a novidade que este
tema representa em solo brasileiro.
Neste sentido, a LGPD vem tornando um imperativo

à mudança no modelo de tratamento de dados pessoais,
especialmente em um momento de profunda transformação
digital, que acabou por ser acelerada pela atual situação
pandêmica, fazendo com que a observação da proteção dos
dados pessoais seja ainda mais necessária.
Tecidas estas considerações, os autores buscaram,

na presente obra, fornecer uma visão geral dos principais
aspectos relacionados com a Lei, abordando de forma geral os
seus impactos no dia a dia das organizações, a fim de orientar
melhor a sua aplicação prática pelos gestores.
APRESENTAÇÃO
A humanidade vem gerando dados e informações

em uma exponencial crescente, o que só tende a aumentar
com a adoção em massa de redes 5G, carros autônomos e de
dispositivos que se utilizam de internet das coisas (IoT), o que
transformará radicalmente a economia, a cultura e a política
nos próximos anos.
Neste sentido, torna-se cada vez mais possível que

empresas e governos utilizem tecnologias de Big Data para
traçar o perfil exato de consumo de uma pessoa,
proporcionando amplas vantagens competitivas sobre os seus
concorrentes.
Sob essa ótica, a consultoria IDC já estimava que

apenas no ano de 2020, 59 zettabytes (ZB) de dados seriam
criados, capturados, consumidos ou copiados, com um
crescimento estimado de 26% ao ano até 2025. Isso
corresponde a uma quantidade maior de dados do que aquela
gerada por toda a humanidade, em toda a sua história, até o
ano de 2010. E essa tendência está cada vez mais acelerada,
tendo em vista que apenas a internet das coisas (IoT) deverá
movimentar 80 zettabytes de dados em 2025.
Se comparadas as 10 empresas mais valiosas do
mundo em 2010 e em 2020, é nítido que os dados tomaram o
lugar do petróleo, como o produto mais valioso e cobiçado do
planeta. Empresas como a Alphabet, Apple, Amazon e
Facebook tomaram o lugar de gigantes do setor energético,
como a ExxonMobil, BP e Shell.
Para se ter uma ideia da velocidade dessas

mudanças, no ano de 2010 os smartphones, tão presentes no
dia a dia das pessoas, eram considerados aparelhos
eletrônicos de nicho para o ramo empresarial, e empresas hoje
dominantes no mercado de consumo digital, como o Spotify, a
Netflix, o Airbnb e a Uber ainda estavam dando seus primeiros
passos na criação de novos modelos de negócio.
A verdade é que o mundo assiste ao advento de

uma extensão tecnológica do corpo humano, ou seja, se antes
este era formado por cabeça, corpo e membros, hoje conta
com mais um agregado: o smartphone.
Destarte, as pessoas estão cada vez mais reféns de

seus celulares, vivendo conectadas 24 horas por dia e 7 dias
por semana, acabando por não se importar com qualquer
espécie de monitoramento da sua privacidade e sequer dão
atenção aos reflexos de terem suas vidas espionadas.
Posto isto, se de um lado a obtenção e manipulação

de dados é algo estratégico para o mercado, possibilitando,
inclusive, a criação de modelos de negócio disruptivos e que
podem se tornar bastante lucrativos, por outro também é
necessário sopesar as consequências negativas que podem
advir do avanço dessa transformação digital.
Assim, esse ambiente digital cada vez mais

integrado com a vida real, somado a esses escândalos
envolvendo vazamento de dados, traduzem os riscos
relacionados à segurança da informação que vêm crescendo
de maneira exponencial.
Nessa toada, a Lei nº 13.709/18 - Lei Geral de

Proteção de Dados Pessoais, mais conhecida como LGPD, foi
concebida visando proteger os direitos à privacidade dos
cidadãos e de seus dados pessoais, em um ambiente de
rápida evolução tecnológica.
Sobre os autores, Miqueias Micheletti é empresário,

graduado em Administração de Empresas pela Fundação
Armando Alvares Penteado – FAAP, analista de segurança da
informação há 20 anos, com vasta experiência em
processamento de dados, além de acumular conhecimentos
jurídico, tributário, em marketing e em gestão de pessoas. É
proprietário da EMBRASI (embrasi.com.br) e foi responsável
por diversas frentes, dentre elas o processamento de dados
de todo o plano econômico (Bresser, Verão, Collor I e Collor II)
de um grande conglomerado de bancos, além da atuação em
outros projetos como nas operações Carlinhos Cachoeira,
Miqueias, Lava Jato, Metro e CBF.
Já Túlio Tito Borges é advogado especialista em

privacidade e proteção de dados formado pela Universidade
Estadual Paulista “Júlio de Mesquita Filho” (Unesp) e pós-
graduado em Direito Digital e Compliance pelo Instituto
Brasileiro de Mercado de Capitais (Ibmec).
E a terceira autora, Deborah Gomes Costa,

graduada em Direito pelas Faculdades Metropolitanas Unidas
(FMU), especialista em Direito Digital pela Damásio
Educacional (Ibmec), pós-graduanda em Processo Civil pela
Escola Paulista de Direito (EPD).
Miqueias Micheletti e Tulio Tito Borges já
escreveram sobre este tema, sendo autores de uma outra
obra, qual seja: LGPD – O abismo entre a teoria e a prática.
Dada a necessidade por algo mais compacto e mais

objetivo, sobretudo do ponto de vista das particularidades do
processo de implementação da LGPD, nos agentes de
tratamento de dados, esta obra visa, além de resolver este
gap, analisar os pontos mais importantes desta legislação e
que tem gerado diversas dúvidas e indagações.
Em linhas gerais, o objetivo é oferecer uma espécie

de interpretação prática da legislação para todos os líderes,
empresários, e demais stakeholders, apresentando exemplos
de medidas para adequação com a temática da proteção de
dados pessoais e, também, alguns estudos de caso.
Para melhor compreensão, este livro é dividido em

58 capítulos, escritos de forma concisa e que abordam de
forma simplificada os marcos principais da legislação,
oferecendo insights de como as empresas poderão se adequar
com as boas práticas de governança, não só relacionadas à
proteção de dados pessoais, como também à segurança da
informação como um todo, principalmente no tocante aos
padrões relativos à ISO 27001 e à legislação de proteção de
dados pessoais europeia, também conhecida como RGPD
(Regulamento Geral de Proteção de Dados).
1. A LEI E SEUS OBJETIVOS
Vigente desde setembro de 2020, a Lei Geral de

Proteção de Dados Pessoais, mais conhecida pela sigla
“LGPD”, é uma legislação criada para garantir os direitos
fundamentais da privacidade dos indivíduos em sociedade,
prevista no art. 5º, inciso X da CF, ressaltando que a proteção
dos seus dados pessoais, recentemente foi incluída no art. 5º,
inciso LXXIX da CF através da EC nº 115/22.
De fato, houve esta referida inclusão, pelo

reconhecimento da proteção de dados pessoais dos cidadãos
enquanto dimensão do princípio da dignidade da pessoa
humana, que fundamenta a existência do próprio estado
democrático de direito. Assim, a proteção de dados se
incorpora à Constituição Federal como uma cláusula pétrea,
ou seja, não pode ser alterada.
A título de esclarecimento, os direitos fundamentais

são considerados valores inerentes ao ser humano, como sua
liberdade e dignidade. Entre os direitos fundamentais
garantidos na Constituição estão a livre manifestação de
pensamento, a liberdade de crença e a inviolabilidade da
intimidade, da vida privada, da honra e imagem das pessoas.
Outrossim, ao contrário do senso comum, o objetivo
da LGPD não é proibir as atividades de processamento de
dados pessoais, mas sim regulamentar essa questão e
garantir às empresas uma maior segurança jurídica,
estabelecendo regras claras para o uso, coleta,
armazenamento e compartilhamento de dados pessoais,
garantindo assim a segurança, privacidade e transparência no
tratamento destas informações.
Diferentemente do que se pensa, a coleta de dados

não ocorre apenas quando se é preenchido algum formulário,
mas ocorre principalmente com o rastreio de todas as
movimentações do usuário na internet, que por vezes são
processadas utilizando-se de algoritmos de Big Data, com a
finalidade de criar um perfil completo de consumo do indivíduo.
Deste modo, a título de exemplificação, torna-se

possível a criação de algoritmos capazes de calcular a
probabilidade de um divórcio, a tendência a desenvolver certas
doenças, a possibilidade de um suicídio, ou identificar a
orientação sexual de uma pessoa.
Como já afirmou a revista The Economist, os dados

pessoais são considerados o novo petróleo, no sentido de
serem o motor da economia e a commodity mais valiosa, vez
que tornam possível auferir vantagens competitivas
expressivas sobre um concorrente ou mesmo sobre um
adversário político, como foi o caso do escândalo da
Cambridge Analytica envolvendo o processo eleitoral que
elegeu Donald Trump em 2016.
Nessa mesma toada, ao que tudo indica algo

semelhante ao que ocorreu nos Estados Unidos e até mesmo
no Brexit, também teria ocorrido no Brasil, nas eleições de
2018, e o que certamente será uma tendência nas próximas
eleições.
Fato é que o ecossistema digital, por sua vez, faz

com que os usuários sequer se deem conta da quantidade de
informações que fornecem sobre si mesmos através da mera
utilização de redes sociais e buscadores na internet, os quais
em sua maioria são gratuitos. Entretanto, deve-se atentar
àquela velha máxima: "se você não paga pelo serviço, o
produto é você".
Desta maneira, em um mundo cada vez mais

integrado às redes sociais e à vida digital, e que também são
recorrentes os escândalos sobre o vazamento e mal uso de
dados pessoais, a forma encontrada pelos governos de todo o
mundo, para ajudar a resolver essa situação, foi a de
estabelecer legislações que regulamentem a proteção de
dados pessoais, como é o caso da LGPD.
Entretanto, há quem indague se não seria o caso de

essa nova legislação sofrer do fenômeno brasileiro de “não
pegar”, ou seja, de não haver o cumprimento pelos agentes
econômicos ou uma fiscalização pelo Estado.
Ocorre que não existe a menor possibilidade de isto

ocorrer, vez que esta legislação é fruto de uma pressão
internacional, sobretudo por parte da União Europeia, que
pode impedir as empresas localizadas em seu território de
realizarem qualquer negócio com países que não estabeleçam
uma legislação de proteção de dados compatível com as
regras europeias, previstas no RGPD (Regulamento Geral de
Proteção de Dados Pessoais).
Embora nos países mais desenvolvidos a proteção

de dados pessoais seja um tópico de discussão ao menos
desde a década de 70, as tratativas para a promulgação de
uma legislação de proteção de dados pessoais no Brasil só
começaram a partir de 2010.
Já em 2016, com o amadurecimento da discussão,
foi protocolado na Câmara o PL nº 5.276/2016, que no dia 14
de agosto de 2018, se transformou na atual LGPD por
promulgação pelo então Presidente Michel Temer.
Em termos gerais, a LGPD surgiu para proteger

todos os indivíduos e usuários de serviços e produtos que
utilizem dados pessoais, servindo para expandir o escopo do
Código de Defesa do Consumidor e garantindo aos cidadãos
o acesso e tantas outras informações, pertinentes a quaisquer
transações ou espécies de utilização dos seus dados
pessoais.
Em suma, esta Lei deve tornar um imperativo à

mudança no modelo de tratamento de dados pessoais,
especialmente em um momento de profunda transformação
digital, fazendo com que a observação da proteção dos dados
pessoais seja ainda mais necessária.
2. TRATAMENTO DE DADOS E FUNDAMENTOS
DA LGPD
Conforme disposto no art. 5º, inciso X da Lei, o

“tratamento” de dados é toda e qualquer operação realizada
com dados pessoais, incluindo a coleta e o armazenamento.
Desta forma, perde sentido a discussão sobre os efeitos
retroativos da legislação, pois o simples fato de o agente de
tratamento ter armazenado um conjunto de dados pessoais já
configuraria um tratamento contínuo, e que, portanto, seria
abrangido pela vigência da Lei.
Já os fundamentos da LGPD, por sua vez, estão

contemplados no art. 2º da Lei, sendo eles:
(i) o respeito à privacidade;

(ii) a autodeterminação informativa;
(iii) a liberdade de expressão, de informação, de
comunicação e de opinião;
(iv) a inviolabilidade da intimidade, da honra e da imagem;
(v) o desenvolvimento econômico e tecnológico e a
inovação;
(vi) a livre iniciativa, a livre concorrência e a defesa do
consumidor e;
(vii) os direitos humanos, o livre desenvolvimento da
personalidade, a dignidade e o exercício da cidadania
pelas pessoas naturais.
Dentre estes fundamentos, é importantíssimo dar

destaque para o respeito à privacidade e a autodeterminação
informativa, que podem facilmente confundir o intérprete em
uma primeira leitura.
Desta maneira, é comum se deparar com situações

em que haja uma confusão no entendimento do que é
privacidade e proteção de dados, assumindo que as duas
sejam sinônimas. O que ocorre é que estes dois fundamentos
são complementares e caminham juntos, ou seja, a
privacidade é um dos objetivos da Lei e a proteção de dados
o meio para alcançá-los, isto é, deve-se proteger os dados
para que possa garantir aos titulares de dados mais segurança
e privacidade.
A privacidade, de forma geral, trata de uma

liberdade que o indivíduo possui em estabelecer quais
aspectos da sua vida poderiam ser conhecidos por terceiros,
vedando-se qualquer interferência em sua esfera privada. Tal
fundamento garante o exercício dos direitos fundamentais de
inviolabilidade da intimidade, da honra, da imagem e da vida
privada, previstos no art. 5º da Carta Magna.
Já a autodeterminação informativa, por sua vez,

surge a partir de um desdobramento do direito à privacidade,
considerando-se o aumento exponencial e até inevitável da
utilização de dados pessoais no mundo contemporâneo. Em
linhas gerais, este direito confere ao indivíduo o poder de
controlar quais de seus dados poderão ser efetivamente
utilizados, incluindo rastros deixados na internet, as
informações de redes sociais, os sites visitados, as pessoas
que são seguidas e o que compartilham. Diante disso, cria-se
o conceito de “corpo eletrônico”, o qual deve ser protegido da
mesma forma como seria protegido o corpo físico das pessoas.
Todavia, embora em teoria o indivíduo possa

determinar e controlar a circulação de todas as suas
informações pessoais, não é bem isso o que ocorre na prática,
vez que a quantidade de “Termos de Uso” de plataformas e
serviços virtuais, às quais os usuários são obrigados a aderir,
cresce de forma exponencial.
Apenas a título de exemplo, um estudo acadêmico

da Universidade Carnegie Mellon de 2006 identificou que o
custo pelo tempo perdido na leitura de termos de uso e
políticas de privacidades se daria na casa dos $3.500 (três mil
e quinhentos) dólares por ano. Considerando, contudo, que os
tempos são outros e que agora o mundo assiste ao advento
dos aplicativos mobile, ao menos esse número deveria ser
dobrado, ou seja, convertendo a moeda para o real, ter-se-ia
um gasto na casa dos R$35.000 (trinta e cinco mil) reais.
Portanto, ainda há muito trabalho a se fazer para

que este direito possa ser efetivamente exercido pelos
indivíduos em sociedade.
3. A ABRANGÊNCIA DA LEI
A LGPD dispõe as hipóteses exatas em que deverá

ser aplicada a Lei em seu art. 3º. Pelo critério estabelecido pelo
inciso I deste artigo, o território de tratamento dos dados
pessoais deve ser utilizado, não importando a nacionalidade
dos titulares. Desta forma, qualquer operação de dados
realizada dentro do território nacional deverá estar adequada
à legislação, mesmo que sejam tratados dados de pessoas de
outros países.
Já pelo inciso II deste art. 3º, qualquer oferta de

serviço ou bem para indivíduos localizados no Brasil, mesmo
que o tratamento seja realizado fora do país, deve-se observar
todas as disposições desta Lei. Por fim, pelo inciso III, todos
os dados pessoais, objeto do tratamento, que tenham sido
coletados no território nacional devem também observar a
LGPD.
Se bem observado, a redação deste último inciso é

um tanto confusa, vez que existe uma redundância com os
primeiros dois incisos, pois se uma empresa coleta os dados e
trata em território nacional, existe interpolação com o inciso I,
e se uma empresa coleta os dados no território nacional e os
envia ao exterior para tratamento, é o caso da hipótese contida
no inciso II. Assim, não é possível vislumbrar os casos em que
a abrangência da Lei se daria a partir exclusivamente deste
inciso III.
A aplicação da LGPD, por sua vez, se dá para todas

as pessoas jurídicas, independentemente do porte, incluindo
aquelas enquadradas no Simples Nacional, e às pessoas
físicas que realizem qualquer espécie de tratamento de dados
para fins econômicos. É o caso de profissionais autônomos,
como dentistas, engenheiros, advogados e corretores de
imóveis.
Cumpre destacar que para as empresas de pequeno

porte, a Autoridade Nacional de Proteção de Dados (ANPD)
publicou em 27 de janeiro de 2022 a Resolução nº 02, que
estabelece disposições específicas para estes agentes de
tratamento. Contudo, ressalta-se que não houve dispensa do
cumprimento da Lei a essas empresas e sim uma facilitação
para que todos possam estar em compliance com a LGPD.
A abrangência da Lei, entretanto, não é absoluta,

existindo algumas ressalvas no art. 4º. É o caso de tratamento
de dados para fins jornalísticos, artísticos, acadêmicos, e,
também, no atendimento de interesses do Estado quando
relacionados à segurança pública e à defesa nacional, por
exemplo. Todavia, não significa que essas entidades não
devam fazer atenção às medidas de segurança, técnicas e
administrativas dispostas no capítulo VII da LGPD, e nem que
estarão isentas de eventual responsabilização na esfera cível.
4. OS PRINCÍPIOS DA LEI E SUAS
PARTICULARIDADES
A observância dos dez princípios contemplados no

art. 6º da Lei é crucial para a legalidade de qualquer tratamento
de dados pessoais, após a chegada da LGPD. Desta maneira,
o titular tem assegurado que o tratamento de seus dados
apenas será realizado em conformidade com as suas
expectativas legítimas.
De forma geral, a realização do tratamento deve

sempre se dar para propósitos legítimos, específicos,
explícitos e claramente informados ao titular, nos termos dos
seguintes princípios:
I. Finalidade: todo tratamento de dados pessoais

deve ser realizado com base em uma finalidade e esta deverá
sempre informada ao titular. Caso o agente de tratamento
altere esta finalidade, é necessário que este titular seja
previamente comunicado.
II. Adequação: o contexto real de tratamento dos

dados pessoais deve ser compatível com a finalidade
previamente informada ao titular. Importante destacar que a
compatibilidade não necessariamente tem relação direta com
a necessidade. Em outras palavras, é possível que se tenha
uma determinada necessidade – como a autenticação de um
usuário –, entretanto, o dado possa não ser adequado àquela
necessidade que se propõe.
III. Necessidade: os dados pessoais tratados devem

ser realmente necessários para atingir a finalidade esperada
pelo agente de tratamento.
IV. Livre acesso: garante aos titulares o amplo

acesso, das formas, finalidades e duração do tratamento dos
dados pessoais pelo agente de tratamento. Esse acesso
deverá ocorrer de maneira facilitada e gratuita, fazendo
sempre atenção ao capítulo III da LGPD.
V. Qualidade dos dados: garante ao titular que os

seus dados pessoais serão tratados com exatidão e se
manterão íntegros, correspondendo à realidade. Importante
observar e fazer atenção ao capítulo 25 desta obra, que
aborda os quatro pilares da segurança da informação,
atentando-se à integridade. Em linhas gerais não se pode
associar este pilar tão somente a um ataque, em que o invasor
adultere uma determinada informação. Cumpre ressaltar os
casos de alteração acidental de um dado, situações muito
comuns no dia a dia das empresas.
VI. Segurança: assegura-se ao titular que, tanto na
forma física como nos equipamentos informáticos, será
mantida a segurança e proteção dos seus dados. Importante
destacar que os arts. 46 e 47 contemplam dois verbos (dever
e obrigar) quando se trata deste princípio. Portanto,
indiscutivelmente, garantir segurança ao titular é um dos
pontos mais importantes da Lei, sem qualquer espécie de
flexibilização a qualquer tipo e porte de empresa.
VII. Transparência: garante ao titular que as

informações sobre o tratamento serão claras, precisas,
facilmente acessíveis, incluindo os agentes de tratamento aos
quais os dados pessoais tenham sido compartilhados.
VIII. Prevenção: é necessário garantir que existam

meios para mitigar riscos ao titular dos dados, atuando-se de
forma preventiva. É importante notar que o legislador tratou de
incluir a prevenção como princípio, justamente para evitar que
um determinado dado utilizado pelo agente de tratamento
possa causar danos aos cidadãos.
IX. Não-discriminação: não é permitido o tratamento

de dados que importem em uma discriminação ilícita ou
abusiva. Este princípio merece um olhar especial, sobretudo
do ponto de vista de agentes de tratamentos condominiais. Há
uma corrente que acredita que a divulgação de lista de
devedores não infrinja a Lei, entretanto, é fato que esta
interpretação fere diretamente este princípio, conforme
abordado no capítulo 39 desta obra.
X. Responsabilização e prestação de contas: os

agentes de tratamento devem demonstrar a adoção de
medidas eficazes e capazes de comprovar que foram
observadas e cumpridas as normas de proteção de dados
pessoais. Em outras palavras, não basta dizer que está em
conformidade com a Lei, deve-se demonstrar. Esta
demonstração está mais clara no capítulo 35 que trata sobre o
relatório de impacto.
Observe-se que os princípios da finalidade, da

adequação e da necessidade se integram com o conceito de
“minimização” do tratamento de dados pessoais, muito
utilizado na Europa, devendo-se, pois, reduzir ao mínimo
possível qualquer tipo de tratamento de dados, a fim de mitigar
riscos e prover mais segurança aos titulares.
5. DADO PESSOAL E DADO PESSOAL SENSÍVEL
À luz do que diz o art. 5º, inciso I da LGPD, é

considerado dado pessoal toda informação relativa a uma
pessoa física, que seja identificada ou identificável. Entende-
se por “pessoa identificada” a possibilidade de fazer a sua
identificação com as informações que se tem, e por
“identificável” a junção ou combinação de outros dados
diferentes, que permita identificar uma pessoa. Frise-se que o
termo “identificável” é muito oportuno aqui, e busca trazer
maior segurança jurídica para os titulares de dados.
Como exemplos de dados pessoais, de acordo com

a LGPD, pode-se citar o nome, o sobrenome, a idade, o
endereço, o endereço de e-mail, o histórico de compras,
dentre outros.
Desta maneira, se a partir de uma informação

aparentemente aleatória seja possível identificar uma
determinada pessoa, logo isso é considerado dado pessoal.
A título de exemplo, os dados de pessoas jurídicas

não são abrangidos pela LGPD, contudo, se a partir de uma
determinada informação desta pessoa jurídica for possível
traçar um rumo até a identificação de uma pessoa física, será
considerado como dado pessoal identificável e, portanto,
amparado pela LGPD. Nos casos das MEIs ou das
Sociedades Limitadas Unipessoais, nem seriam necessários
tantos esforços e, logo, todos os dados provenientes destes
formatos de empresas já são considerados dados pessoais.
É importante destacar que o termo “identificável”

auxiliará sobretudo para coibir condutas abusivas utilizando-se
de recursos de Big Data, que podem revelar informações
sensíveis dos titulares, bem como possivelmente provocar-
lhes algum dano, se mal utilizados.
Já o dado pessoal sensível diz respeito a quaisquer

informações que possam gerar a discriminação de uma
determinada pessoa, especialmente os que denotem origem
racial ou étnica, convicção religiosa, opinião política, filiação a
sindicato, filiação à organização de caráter religioso, filosófico
ou político, dados sobre a saúde ou a vida sexual do indivíduo,
e dados genéticos ou biométricos.
Como já abordado acima, a respeito do uso de Big

Datas, a título de curiosidade, com o uso de algoritmos, é
perfeitamente possível identificar quando um casal se
divorciará, tendências de suicídio e outras doenças mentais,
uso abusivo de drogas, quando uma garota solteira
engravidaria, dentre outras descobertas.
6. TRATAMENTO DE DADOS
De acordo com a definição presente no art. 5º, inciso

X, trata-se de toda e qualquer operação realizada com dados
pessoais, inclusive em meios físicos, incluindo coleta,
produção, recepção, classificação, utilização, acesso,
reprodução, transmissão, distribuição, processamento,
arquivamento, armazenamento, eliminação, avaliação ou
controle da informação, modificação, comunicação,
transferência, difusão ou extração de dados pessoais.
Uma discussão recorrente diz respeito aos efeitos

retroativos da LGPD, especialmente sobre a maneira com a
qual os dados pessoais possam ter sido coletados no passado.
Embora a legislação realmente não deva retroagir para causar
efeitos sobre a forma como teria ocorrido a coleta dos dados
pessoais, o fato de o agente de tratamento continuar tratando
estes dados será considerado um tratamento para todos os
efeitos, devendo-se realizar a aplicação da LGPD.
7. O BANCO DE DADOS PARA EFEITOS DA LEI
O art. 5º, inciso IV da LGPD define bancos de dados

como um “conjunto estruturado de dados pessoais,
estabelecido em um ou em vários locais, em suporte eletrônico
ou físico”.
Contudo, ao discriminar o conceito de banco de

dados, o legislador cometeu um lapso, haja vista que não
contemplou os dados não estruturados, que diga-se de
passagem abarcam consigo a esmagadora maioria dos
problemas que a Lei buscou resolver.
Posto isto, dados não-estruturados, são dados não

organizados de alguma forma predefinida, isto é, não possuem
um modelo e tampouco são estruturados em um banco de
dados.
Em linhas gerais, tratam-se de metadados, ou

“dados sobre dados”, organizados de forma difusa e complexa,
diferentemente do que ocorre com os dados estruturados, que
podem ser facilmente organizados e classificados em um
software de processamento. Alguns exemplos que podem ser
citados de dados não-estruturados são textos produzidos em
editores de textos, imagens, comentários em redes sociais,
dentre outros dados que não possuem uma estrutura rígida ou
fixa.
Uma vez destacado esse lapso do legislador, é

importante ressaltar que o tratamento em escala massiva de
dados estruturados e não-estruturados, através de algoritmos
para a criação de padrões, é denominado Big Data, tratamento
este que será frontalmente afetado pela LGPD.
Fato é que, atualmente, tudo o que se posta na

internet, uma vez que não seja sigiloso, pode ser utilizado para
a geração de perfis de consumo dos usuários, auxiliando as
empresas na definição de estratégias de redução de custos ou
de marketing, produzindo-se conteúdo com maior precisão de
forma direcionada e assertiva.
Entretanto, do ponto de vista das sanções dispostas

na Lei, parece ter havido mais um lapso do legislador ao se
referir a bases de dados apenas como conjuntos de dados
estruturados. Isto porque a legislação importa, em seu art. 52,
inciso X, a sanção de “suspensão parcial do funcionamento do
banco de dados a que se refere a infração pelo período
máximo de 6 (seis) meses, prorrogável por igual período, até
a regularização da atividade de tratamento pelo controlador”.
Assim, esta suspensão não poderia atingir os dados não-
estruturados, mas apenas os dados estruturados contidos no
banco de dados.
Todavia, embora exista este lapso na legislação,

outras sanções ainda poderão atingir estes dados não-
estruturados, incluindo a prevista no inciso XII do art. 52 da
LGPD, que prevê a possibilidade de “proibição parcial ou total
do exercício de atividades relacionadas a tratamento de
dados”. Portanto, o uso de algoritmos de Big Data será
significativamente impactado pela LGPD, na medida em que a
obtenção de dados pessoais de forma automatizada, por meio
da análise das características individuais, é essencial para a
construção dos perfis citados.
Curiosamente, a LGPD, em seu art. 20, traz regra

de grande relevância no que diz respeito ao tema, ao
estabelecer que o titular dos dados tem direito de solicitar a
revisão de decisões tomadas, com base no tratamento
automatizado de dados pessoais que afetem seus interesses,
sendo, da mesma forma, dever do controlador fazer cumprir a
necessidade do titular, garantindo o pleno exercício dos seus
direitos.
O fato é que as empresas que se utilizam dos dados,
como forma de impulsionar seus negócios, terão que buscar
meios de adequação aos termos da Lei, sendo necessária a
melhor estruturação dos dados coletados, para conferir maior
integridade e segurança a estes, além do desenvolvimento dos
programas de compliance.
De outro ponto, cabe dizer que muitos dos dados

fornecidos pelo titular, especialmente aqueles relacionados
aos cookies, por meio dos mecanismos acima citados, se
utilizam da base legal do consentimento, sendo necessária a
manifestação livre, informada e inequívoca. No entanto, como
já mencionado, esta base legal é uma das mais frágeis da
LGPD, vez que, embora os sites tenham seus termos de uso,
políticas de privacidade e de uso de cookies, em muitas vezes
estes são elaborados com linguagem complexa ou tratam de
documentos inacessíveis para uma parcela significativa dos
usuários.
Uma solução para a questão é a simplificação dos

termos, colocando-os de forma sistematizada, garantindo que
o usuário realmente consinta com o uso de seus dados em
todos os termos ali lançados, cumprindo todos os requisitos do
consentimento, conforme acima exposto.
Além da simplificação dos termos, é indispensável o
fornecimento de versão mais completa dos documentos, tendo
em vista que uma sanção como a suspensão das atividades
de tratamento de dados, por certo, inviabilizará todas as
operações de uma empresa, podendo levá-la à falência.
Fato é que os dados são a maior riqueza disponível

no mercado mundial. Quem souber utilizá-los em
conformidade com a LGPD ou mesmo com as leis de proteção
de dados de outros países, com certeza terá vantagens
competitivas.
8. OS ATORES DA LGPD
Além dos titulares de dados pessoais, que são o

foco de proteção da Lei, também se destaca a ANPD e os
agentes de tratamento, como o controlador e o operador,
cabendo ao encarregado de dados (DPO) fazer a
intermediação da comunicação entre todos estes atores. À luz
da LGPD, tem-se as seguintes definições e papel para cada
um desses atores:
1. O controlador é o agente de tratamento a quem

competem as decisões referentes ao tratamento de
dados pessoais;
2. O operador é o agente que realiza o tratamento
de dados pessoais a mando do controlador;
3. O DPO ou encarregado de dados é a pessoa
física ou empresa que será a ponte entre o titular de
dados, o controlador e a ANPD;
4. A ANPD, abreviação de Autoridade Nacional de
Proteção de Dados, é o órgão responsável por
implementar normas e diretrizes, zelar e assegurar
que a Lei esteja sendo cumprida pelos agentes de
tratamento.
5. O Titular de Dados é o protagonista da LGPD,
que na tradução da própria Lei, é a pessoa natural a
quem se referem os dados pessoais, que são objeto
de tratamento.
9. CONSENTIMENTO DO TITULAR DE DADOS
Adentrando já às hipóteses de tratamento de dados

pessoais que a Lei prevê, tem-se aqui um velho conhecido: o
consentimento.
Entretanto, ao contrário do que a maioria pensa,

consentimento está muito distante de ser a adequação à
LGPD. Aliás, o consentimento, quando utilizado de maneira
inadequada pode se converter em um baita problema para o
agente de tratamento.
Cumpre ressaltar que para a LGPD, o

consentimento é uma manifestação livre, informada e
inequívoca da vontade do titular de dados. Portanto, o conceito
trazido pela legislação é um tanto mais abrangente do que uma
mera manifestação de vontade, e pode acarretar diversos
riscos ao agente de tratamento, se coletado ou utilizado de
forma incorreta.
Sendo assim, para que o consentimento seja “livre”,

deve-se garantir que a recusa do titular em fornecê-lo não lhe
enseje qualquer tipo de consequência negativa, sob pena de
ser considerado ilícito. A título de exemplo, se um determinado
aplicativo solicitar que o titular “consinta” em oferecer uma
quantidade maior de dados do que realmente necessite,
apenas para que o usuário possa ter acesso ao referido
aplicativo, poderá ser considerado abusivo nas circunstâncias
do caso concreto.
Para que o consentimento seja “informado”, por sua

vez, deve-se dispor todas as condições de tratamento de
forma clara e simples ao titular, adequando-se inclusive o
termo de consentimento de acordo com o público-alvo, seja
através de textos, vídeos ou infográficos, em língua
portuguesa, visando dar a maior compreensão possível a ele.
Já, para que seja “inequívoco”, o consentimento

deve abarcar uma demonstração proativa do titular de dados,
sendo vedadas opções pré-marcadas ou a aceitação pelo
mero silêncio do indivíduo.
Contudo, contrariamente ao que diz o senso

comum, o consentimento é apenas uma dentre dez hipóteses
de tratamento de dados, sendo que, na maioria das vezes, é
perfeitamente possível identificar-se outras bases legais para
o tratamento.
Outrossim, o consentimento carrega consigo um

outro problema, ou seja, este pode ser revogado a qualquer
tempo pelo titular, conforme dispõe o art. 8º, §5º da LGPD, o
que não ocorre com as demais hipóteses legais de tratamento.
Esta situação reforça a ideia de que esta não é a

melhor alternativa para os agentes de tratamento. Entretanto,
caso ainda opte por utilizá-lo, é recomendável que se crie um
sistema de gerenciamento do consentimento, para que possa
demonstrar sua boa-fé em um eventual procedimento judicial
ou administrativo.
10. OUTRAS HIPÓTESES DE TRATAMENTO DE
DADOS
Além do consentimento, as hipóteses de tratamento

de dados pessoais não-sensíveis estão todas previstas no art.
7º da LGPD: o cumprimento de obrigação legal ou
regulamentar (inciso II); o tratamento pela administração
pública (inciso III); a realização de estudos por órgãos de
pesquisa (inciso IV); a execução de contrato ou de
procedimentos preliminares relacionados a contrato (inciso V);
o exercício regular de direitos (inciso VI); a proteção da vida e
da incolumidade física do titular ou de terceiro (inciso VII); a
tutela de saúde do titular (inciso VIII); a proteção de crédito
(inciso X); o legítimo interesse do controlador (disposto no
inciso IX do art. 7º e regulamentado no art. 10 da LGPD).
Todavia, no geral, as entidades privadas acabam

por enquadrar o tratamento de dado nas bases dos incisos II,
V, VI e IX.
O inciso II diz respeito ao tratamento para o

cumprimento de obrigações legais ou regulamentares, como o
tratamento de dados para a emissão de notas fiscais ou para
a entrega de obrigações acessórias à Receita Federal, apenas
para citar alguns exemplos.
O inciso V, por sua vez, refere-se ao tratamento de

dados para situações atinentes ao contrato ou aos seus
procedimentos preliminares, como é o caso da coleta de dados
para o envio de uma proposta, por exemplo. Em ambas as
fases de contratação, pode ser realizado o tratamento de
dados pessoais sem o termo de consentimento do titular,
desde que necessários para a contratação e que se dê a
pedido do titular.
A título de esclarecimento do que viriam a ser esses

procedimentos preliminares dispostos no inciso V, pode-se
citar como exemplos, quais sejam:
(i) o caso de aquisição de um produto pelo titular

em uma loja virtual, em que o vendedor deverá
saber seu endereço para o cálculo do frete;
(ii) a consulta a ser realizada por uma instituição
financeira antes da concessão de crédito, o que
deve se tornar ainda mais relevante com a
efetivação do open banking no país; e
(iii) as análises preliminares de risco por
seguradoras, necessárias para a determinação das
condições da apólice de seguro.
Com relação à base de tratamento prevista no inciso

VI, depreende-se que esta base busca proteger os direitos
fundamentais da ampla defesa e do contraditório,
possibilitando ao agente de tratamento reter determinados
dados, se demonstrar que eles servirão como elemento de
prova para o exercício de seus direitos em eventuais
demandas judiciais, desde que haja a real necessidade e
sejam utilizados somente para esta finalidade específica.
Dessa maneira, o agente de tratamento estaria

autorizado a reter dados pessoais dos indivíduos, mesmo após
o fim do contrato, conforme os prazos prescricionais previstos
na legislação, tendo em vista que estes dados poderiam ser
necessários em eventuais demandas judiciais.
Ainda, como uma espécie de válvula de escape, há

também o inciso IX do art. 7º, que diz respeito ao legítimo
interesse do controlador, mais bem especificado no art. 10 da
legislação. Embora exista uma discussão grande sobre a
abrangência e o potencial abuso deste dispositivo, deve-se
sempre lembrar de que o objetivo do legislador não foi o de
burocratizar e sim de regulamentar o tratamento de dados,
pautando-se sobretudo na boa-fé para com o titular.
Para facilitar a compreensão no uso dessas

hipóteses de tratamento de dados, traz-se neste momento
alguns exemplos.
Tome-se a situação de uma empresa que realize a

venda de um equipamento médico de alta tecnologia, e
ofereça garantia de sete anos aos seus clientes. Na fase de
proposta, a hipótese de tratamento dos dados se daria com
base no inciso V do art. 7º da LGPD, tratando-se de um
procedimento preliminar ao contrato. Uma vez efetivada essa
venda, ter-se-á a emissão da respectiva nota fiscal, havendo o
tratamento com base no inciso II e sua manutenção pelo prazo
de cinco anos. Em paralelo, continuar-se-á com a hipótese de
tratamento pautada no inciso V do at. 7º, em decorrência do
contrato de garantia, cujos dados serão mantidos pelo prazo
estabelecido em contrato (neste exemplo, de 7 anos).
Desta feita, após os cinco anos, a empresa não será

obrigada a excluir os dados pessoais, vez que oferecera
garantia de sete anos no produto vendido, mantendo-se a
base legal de tratamento do inciso V, em função deste contrato
de garantia.
Este prazo pode ser ainda estendido em virtude do
prazo decadencial de 7 anos após o prazo de garantia
conferido pela empresa, com a finalidade de permitir a sua
defesa em alguma demanda judicial ou extrajudicial, devendo-
se dar o tratamento, nesta hipótese, com base no inciso VI do
art. 7º da LGPD.
Mesmo passado esse período do contrato de

garantia, caso ainda seja necessário o tratamento, este poderá
ser realizado no legítimo interesse do controlador, com fulcro
no inciso IX do art. 7º. Esta condição se daria, por exemplo, se
for do interesse da empresa fornecer atualizações do
equipamento aos seus clientes de forma periódica. Logo,
existiria um interesse legítimo, da empresa, em continuar
tratando os dados, através da migração da hipótese de
tratamento para o inciso IX do art. 7º da LGPD.
Ainda a título de exemplo, acende-se uma alerta

para o departamento de RH, um dos mais impactados pela
nova legislação, vez que são utilizadas várias bases legais de
tratamento.
Desta maneira, na realização do processo seletivo,

fundamenta-se o tratamento no inciso V, por ser este um
procedimento preliminar a um contrato. Se o candidato for
contratado, além do tratamento no inciso V, a empresa ainda
poderá ser obrigada a realizar o tratamento no cumprimento
de obrigações legais (inciso II) ou para o exercício regular de
direitos após o desligamento deste funcionário (inciso VI).
Existe ainda os casos em que o candidato não for

selecionado, hipótese esta em que não poderá ser utilizada a
base de tratamento do inciso V, devendo-se utilizar daquela
disposta no inciso VI, com o fito de cumprir com o prazo
prescricional trabalhista de 02 (dois) anos.
Por fim, a inclusão dos dados deste candidato em

um banco de dados de vagas, entretanto, depende de uma
finalidade diferente, que deverá ser devidamente informada ao
titular, de modo que esse tratamento poderá ocorrer com base
na hipótese do inciso I – consentimento, ou com base no inciso
IX – legítimo interesse do controlador.
Quanto aos dados sensíveis, existem algumas

mudanças substanciais nas hipóteses de tratamento de dados,
que estão previstas no art. 11. De início, cumpre ressaltar que
não foi prevista, pelo legislador, a utilização destes dados com
base no legítimo interesse do controlador. Desta maneira,
quando se tratar de interesse legítimo, o agente de tratamento
não poderá realizar qualquer espécie de tratamento de dados
pessoais.
Um ponto interessante nesta discussão diz respeito

à ausência dos procedimentos preliminares em contratos para
a utilização de dados sensíveis. Assim, deve-se indagar se o
legislador quis abarcar esta situação com fundamento no art.
11, inciso II, alínea “d”, ou tratou-se de sua omissão eloquente,
proibindo-se a utilização de dados sensíveis em
procedimentos preliminares ao contrato.
A título de exemplificação, o fato é que neste sentido

não seria possível prever o tratamento de dados sensíveis
para algumas situações, quais sejam:
a) a utilização de dados pessoais para a

elaboração de uma proposta de aquisição de um
veículo para deficientes físicos (PCD);
b) para procedimentos preliminares à
apresentação de novos obreiros nas igrejas, ou seja,
até que o obreiro tome ciência haveria essa lacuna
para que fosse possível o tratamento destes dados.
Uma solução, neste caso, seria a assinatura de
termos de confidencialidade pelos responsáveis
pela escolha e um ajuste no estatuto da organização
religiosa.
c) para procedimentos preliminares no
atendimento a pessoas necessitadas, sobretudo do
ponto de vista financeiro, isto é, enquanto não for
debatido entre alguns membros responsáveis, não
poderá haver esse atendimento, havendo mais uma
vez uma lacuna entre a aprovação e a realização do
atendimento. Este é um caso típico que ocorre em
organizações religiosas e também em organizações
filantrópicas do terceiro setor.
Enfim, espera-se que dentre vários pontos que

deverão ser regulamentados, a ANPD se pronuncie sobre este
caso.
É claro que, para a situação acima, existe o Projeto

de Lei 5.141/20, que prevê a dispensa da obrigatoriedade de
atenção à LGPD às igrejas, contudo, espera-se que, se
aprovado o projeto, reste claro que esse tratamento de dados
pessoais seria permitido tão somente para fins religiosos,
contanto que o tratamento fosse realizado dentro das igrejas.
Desta maneira, inibir-se-ia as chances de uma empresa fazer
o uso de dados desnecessários, alegando que estaria
realizando esse tratamento para fins religiosos.
11. O USO DE DADOS DE CRIANÇAS
Outro ponto de muita discussão diz respeito ao

tratamento de dados de crianças e adolescentes, que por um
lapso do legislador, apenas a base do consentimento dos pais
ou do responsável legal acabou por ser permitida, exceto
quando esse tratamento for motivado para estabelecer contato
com os pais, por uma única vez, ou para a proteção da criança.
Cabe realçar inclusive que, para o tratamento de

dados de crianças até 12 anos de idade, é necessário
consentimento específico e em destaque, dado por, pelo
menos, um dos pais ou responsáveis legais. Neste diapasão,
indaga-se como ficaria a situação, por exemplo, no
cumprimento de obrigações legais em que não houvesse esse
consentimento, como no pagamento de um salário-família pelo
controlador.
De fato, a única maneira de resolver esta questão

seria classificando os dados dessas crianças e adolescentes
como sensíveis valendo-se, desta maneira, das hipóteses de
tratamento presentes nas alíneas do inciso II do art. 11 da
LGPD.
Outra interpretação e solução para essa
problemática poderia estar no art. 14, §3º, quando se fala da
proteção à criança. Se de um lado o legislador foi omisso, de
outro indaga-se a possibilidade de associar algumas situações
de tratamento de dados das crianças com base na sua própria
proteção, como seria o caso do pagamento do salário-família.
Nesta mesma linha de entendimento ter-se-ia o

tratamento de dados de crianças nos condomínios edilícios.
Neste caso há duas situações:
i) para acesso da criança ao condomínio, quando

desacompanhada: neste caso, poderia ser utilizada
este §3º? Não, não seria possível, vez que quando
qualquer pessoa deseja acessar um condomínio, a
finalidade proposta do tratamento é a proteção e
segurança interna no empreendimento e não de
quem demanda pelo acesso.
ii) quando a criança residir nas dependências do

condomínio: neste caso seria possível se valer desta
hipótese de tratamento, com fundamento na
proteção da criança.
Embora esta seja uma saída razoável, a sugestão é
que haja um pronunciamento da ANPD com relação a essa
situação.
12. O TRATAMENTO DE DADOS PÚBLICOS
Antes de abordar esta previsão de uso dos dados

pessoais, é importante frisar, uma vez mais, que o objetivo do
legislador não foi a burocratização, a vedação e, tampouco, a
repressão ao tratamento de dados pessoais. O que se busca
é regulamentar o uso desses dados, principalmente em
decorrência da pressão que o Brasil sofreu, sobretudo por
parte da União Europeia.
Ademais, o Brasil é um país um tanto tardio em

regulamentar situações atinentes à área de tecnologia da
informação, muito embora a Lei não contemple tão somente
dados em meios digitais.
Ressalvado o objetivo do legislador com o advento

da LGPD, insta salientar que há uma grande diferença entre
dados públicos e dados tratados pelo poder público. Ambos
são contemplados e permitidos pela LGPD.
Nesta toada, cumpre destacar que, ao contrário de

dados utilizados pelo poder público, dados públicos são
aqueles que qualquer pessoa poderia acessá-los, tendo em
vista que o mesmo pode ser visto sem maiores problemas. É
o caso de dados pessoais disponíveis em redes sociais, ou até
mesmo aqueles tratados pelo poder público e, em decorrência
da Lei nº 12.527/11 (LAI), estão disponíveis com base na
transparência.
Assim, realizadas tais considerações, quando

analisado o que dispõe o §3º do art. 7º da LGPD, deve-se fazer
atenção para qual finalidade os dados, inicialmente, se
tornaram públicos, vedando-se, em teoria, o tratamento destes
dados para outras finalidades, em virtude do respeito à boa-fé
e do interesse público.
Entretanto, existem controvérsias a respeito deste

parágrafo, considerando que se analisado em conjunto com o
§4º do mesmo art. 7º, haveria uma dispensa a exigência do
“consentimento previsto no caput” aos dados tornados
manifestamente públicos pelo titular. Importante ressaltar que
há um claro erro redacional neste parágrafo, tendo em vista
que o consentimento se insere no inciso I do artigo, e não no
caput, além de uma menção errada ao consentimento, vez que
o tratamento ainda assim deverá respeitar aos ditames da
LGPD.
Ainda no art. 7º, deve-se fazer atenção ao §7º, que

com sua redação confusa, é capaz de abrir espaço para
condutas contrárias à própria legislação. Esta disposição trata
sobre a mudança de finalidade dos dados referidos nos
parágrafos 3º e 4º, que poderá ser realizada desde que
“observados os propósitos legítimos e específicos para o novo
tratamento e a preservação dos direitos do titular”, expondo
sobremaneira os titulares de dados e permitindo que agentes
de tratamento mal-intencionados se beneficiem desta brecha
legislativa.
Neste diapasão, este problema ainda se torna maior

quando analisado o que dispõe o art. 9º, §2º da LGPD, com a
exigência de que seja informado o titular da nova finalidade de
tratamento dos seus dados pessoais tão somente aos casos
em que a hipótese utilizada seja o consentimento.
Entretanto, não se pode olvidar de que neste novo

tratamento aqui previsto, deve ser observado o art. 6º da
LGPD, que trata sobre os princípios para esse determinado
tratamento, tendo em vista que o próprio legislador também foi
bem incisivo quando contemplou essa obrigatoriedade de
observação dos princípios e direitos do titular no §6º do próprio
art. 7º.
13. ANONIMIZAÇÃO E PSEUDONIMIZAÇÃO
A LGPD define em seu art. 5º, inciso III, que dado

anonimizado é aquele "dado relativo ao titular que não possa
ser identificado, considerando a utilização de meios técnicos
razoáveis e disponíveis na ocasião de seu tratamento", e de
acordo com o art. 12, não são considerados dados pessoais
para os fins da LGPD.
Define, ainda, no inciso XI, que anonimização é a

"utilização de meios técnicos razoáveis e disponíveis no
momento do tratamento, por meio dos quais um dado perde a
possibilidade de associação, direta ou indireta, a um
indivíduo".
Assim, é possível inferir que os dados pessoais só

serão considerados como anonimizados se garantido que,
utilizando-se das técnicas disponíveis no mercado a um custo
relativamente baixo, não sofrerão um processo de reversão do
processo de anonimização que permita a identificação do
titular.
Entretanto, existe uma discussão sobre o que

exatamente seriam os meios técnicos “razoáveis” aos quais o
legislador faz referência, vez que nenhum processo de
anonimização é 100% seguro.
A título de exemplificação, pode-se mencionar um

estudo realizado pela Universidade do Texas que, há alguns
anos, conseguiu reidentificar os titulares de dados
considerados anonimizados pela Netflix, através de um
processo de reversão da anonimização utilizada.
No entanto, deve-se considerar o esforço técnico e

financeiro para se “quebrar” determinado processo de
anonimização, cabendo, portanto, o conceito trazido pelo
legislador de “esforços razoáveis” para a reversão deste
processo.
Todavia, deve-se tomar cuidado com esta

permissão da lei, vez que tão logo haja uma reidentificação de
um dado anonimizado, este passa a ser protegido de forma
automática pela LGPD.
Neste sentido, até mesmo para prover maior

segurança jurídica aos controladores, é de grande valia o §3º
do artigo 12, o qual prevê que a ANPD poderá agir no
estabelecimento de padrões técnicos para a anonimização dos
dados.
Já a pseudonimização, por sua vez, diz respeito ao
processo que retira a possibilidade de associação de um dado
pessoal a um indivíduo, separando-se as informações em
bases de dados diferentes. Trata-se de uma boa alternativa
para a mitigação de riscos provenientes de processos de
anonimização, enquanto esta questão não for mais bem
regulamentada pela ANPD.
A título de conceituação, a definição para dados

pseudonimizados está discriminada de forma indireta no art.
13, § 4º da LGPD, dispondo que é “o tratamento por meio do
qual um dado perde a possibilidade de associação, direta ou
indireta, a um indivíduo, senão pelo uso de informação
adicional mantida separadamente pelo controlador em
ambiente controlado e seguro". Ou seja, o dado
pseudonimizado possui efetivamente um processo de
reversão viável, por meio de uso de informações adicionais
que o controlador mantenha em ambiente separado, com os
respectivos controles de segurança, sendo desta forma
considerados dados pessoais, para todos os efeitos.
14. CICLO DE VIDA DO DADO
De maneira geral, a Lei Geral de Proteção de Dados

Pessoais visa limitar o armazenamento prolongado e
desnecessário de dados e informações pessoais.
Posto isto, a título de esclarecimento, o ciclo de vida

dos dados pessoais consiste de todas as ações realizadas
pelos agentes de tratamento quando da utilização desses
dados, que vão desde a coleta até o seu efetivo descarte,
incluindo, mas não se limitando, a retenção, o processamento
e o compartilhamento dos mesmos.
A definição e o estabelecimento de todo esse ciclo deverá ser

definida quando da realização do mapeamento de dados
pessoais. Neste mapeamento também devem ser
contemplados todos os dados tratados e quais as suas
hipóteses de tratamento, identificando, inclusive, por quanto
tempo esse dado poderá ou deverá ser mantido pelo agente
de tratamento.
Entretanto, quando a hipótese de utilização de

qualquer dado pessoal for o consentimento, deve-se fazer
atenção que este poderá ser revogado pelo titular, a qualquer
momento.
O art. 15 da Lei, entretanto, estipula que o
tratamento de dados pessoais deverá ser interrompido
quando:
(I) a finalidade tiver sido alcançada ou os dados

deixarem de ser necessários;
(II) ocorrer o fim do período de tratamento;
(III) houver comunicação do titular, inclusive no
exercício de seu direito de revogação do
consentimento;
(IV) a autoridade nacional assim o determinar,
havendo violação ao disposto na LGPD.
Já no inciso IV do art. 16, existe uma “suposta”

exceção que permite o tratamento após as condicionantes
presentes no art. 15, permitindo que os dados pessoais sejam
tratados para o uso exclusivo do controlador, contanto que
estes sejam anonimizados e não sejam compartilhados com
terceiros.
Entretanto, a própria LGPD, em seu art. 12 dispõe

que os dados anonimizados não são considerados dados
pessoais para efeitos da LGPD. Ora, muito provavelmente
deverá prevalecer a redação do art. 12, ou seja, que os dados
anonimizados não deverão ser considerados dados pessoais,
portanto, não há que se discutir o período de retenção para
estes casos.
15. DIREITOS DO TITULAR
Primeiramente, deve-se ressaltar que o titular é a

pessoa natural a quem se referem os dados pessoais que são
objeto de tratamento. Ou seja, o titular não pode ser uma
pessoa jurídica, tampouco uma pessoa já falecida. Devido a
sua importância e relevância, é oportuno ressaltar que a LGPD
tratou de ter um capítulo inteiro para destacar os seus direitos,
além de tê-los especificado em outros pontos, como é o caso
do art. 9º, que trata especificamente do direito de acesso do
titular.
Dentre os direitos dos titulares, previstos nos artigos

18 e 19, destacam-se:
(i) a confirmação da existência de tratamento e

acesso as suas informações;
(ii) a correção dos seus dados;
(iii) a anonimização, bloqueio ou eliminação dos
seus dados;
(iv) a solicitação de cópia completa dos seus dados;
(v) a prestação de informações sobre o
compartilhamento dos seus dados com terceiros;
(vi) a revogação do consentimento;
(vii) o direito de peticionar perante a ANPD ou a
outros órgãos públicos, como o PROCON conforme
preceitua o §8º do art. 18;
(viii) a revisão de decisões estritamente
automatizadas baseadas em dados pessoais (art.
20 da LGPD);
O titular deve possuir uma forma facilitada de

realizar estes pedidos, valendo destacar que em momento
algum a LGPD utilizou-se do termo “canal de titular”, vez que
os direitos do titular podem ser exercidos e demandados por
qualquer meio, inclusive por telefone.
O grande problema, entretanto, se dá na gestão

destas demandas e na constituição de evidências do seu
atendimento, tendo em vista a clara possibilidade de inversão
do ônus da prova, devendo o agente de tratamento
demonstrar, em um processo judicial ou administrativo, que
realmente teria atendido as demandas dos titulares de forma
lícita.
Uma outra problemática diz respeito à validação do

titular, ou seja, à sua autenticação. Imagine-se que um
indivíduo demande uma empresa por telefone ou até mesmo
através de um e-mail. Qual será a garantia de que esse titular
é realmente quem ele diz ser, ou se não é uma outra pessoa
se passando por ele, com a finalidade de obter seus dados?
Por mais que a empresa estivesse de boa-fé, ocorreria, neste
caso, um incidente de vazamento de dados e este poderia
ensejar a responsabilização do agente de tratamento. Assim,
para melhor entendimento desta situação, o capítulo 34
contempla maiores detalhes sobre os cuidados que deverão
ser tomados, pelos agentes de tratamento, valendo-se então
de um canal apropriado para atendimento das demandas do
titular de dados.
Muito embora já citado, cabe destacar o direito do

titular de fornecimento de uma declaração completa do agente
de tratamento acerca dos seus dados, nos casos em que o
tratamento se der com base no seu consentimento ou em
contrato. Deste modo, ações de exibição de documentos, de
pessoas físicas, perderão o seu objetivo prático, uma vez que
a solicitação do titular deverá ser atendida dentro de 60 dias
corridos para micro e pequenas empresas e 15 dias corridos
para agentes de tratamento de demais portes, podendo ser
inclusive demandadas extrajudicialmente.
16. O PAPEL DOS AGENTES DE TRATAMENTO
Primeiramente, é importante destacar que há dois

tipos de agentes de tratamento definidos na Lei: o controlador
e o operador.
O art. 5º, em seus incisos VI e VII, traz as definições

de cada um destes agentes, sendo o controlador o agente de
tratamento a quem competem as decisões referentes ao
tratamento de dados pessoais, e o operador o agente que
realiza efetivamente o tratamento desses dados, obviamente
a mando do controlador.
A fim de estabelecer-se as atribuições de cada um

destes agentes, tome-se o exemplo de um indivíduo que faça
uma compra online, sendo solicitados alguns de seus dados
pessoais para a execução do contrato, como o seu nome,
endereço e dados bancários. Nesta situação, o e-commerce
deverá compartilhar os dados pessoais do titular com uma
empresa de gerenciamento de meios de pagamentos e com
uma empresa de logística, que realizará a entrega do produto.
Neste caso, ambas são consideradas operadoras,

pois agiriam apenas sob as estritas recomendações da loja
online, que determinaria a forma e a finalidade com que os
dados do titular deveriam ser tratados. No entanto, em caso de
qualquer incidente de segurança, decorrente destes
operadores, quem responderá por este caso será a própria loja
online, facultando-lhe a possibilidade de uma ação de
regresso.
Agora, imagine-se que a loja online tenha

terceirizado o processamento à empresa “XPTO”. Além do que
fora estabelecido na contratação, por sua conta e risco, e sem
autorização da Controladora, a empresa “XPTO” resolveu
utilizar esta base de dados pessoais para uma finalidade
diversa, sem o conhecimento da Contratante. Logo, a empresa
“XPTO”, nesta nova operação de tratamento, assume a
posição de Controladora, com toda a responsabilidade
advinda deste fato.
Ressalte-se que essa mesma situação poderá

ocorrer com um funcionário. Se de um lado ele exerce uma
função de subordinação, por outro, a partir do momento que
este comete uma ilicitude, assumirá, para aquela operação de
tratamento, a posição de Controlador.
Neste diapasão, estima-se que 65% dos incidentes

de segurança, no Brasil, tenham relação com condutas
realizadas por funcionários, sejam estas condutas acidentais
ou intencionais.
Embora à primeira vista o advento da LGPD possa

parecer complicar ainda mais esta situação, o aumento na
cultura de proteção de dados pessoais e privacidade pode
levar a uma tendência de queda nesse percentual, com uma
adoção mais ampla dos registros das operações de
tratamento, que também são denominados “logs” ou “logs de
sistemas” em uma linguagem mais técnica, a fim de rastrear
quaisquer alterações que podem ser realizadas nos sistemas
da empresa, permitindo, assim, a investigação de incidentes e
a responsabilização dos infratores.
Conclui-se, portanto, que a LGPD oferecerá

segurança não apenas aos titulares de dados, mas também às
próprias empresas. Se antes o limite para um funcionário
nestes casos era a sua demissão, hoje esse limite é estendido
para uma eventual responsabilização civil e até mesmo
criminal.
Tais fatos podem inclusive impossibilitar a

recolocação profissional deste ex-funcionário, vez que ações
cíveis desta natureza podem ser facilmente encontradas
realizando-se buscas em buscadores na internet.
A título de curiosidade, em um caso recente, um
empregado foi demitido por justa causa por ter enviado
informações internas de um dos clientes da empresa para seu
e-mail pessoal. Neste e-mail estavam envolvidos números de
CNPJ, de CPF, números de cartões, dentre outras
informações.
No entanto, os empregados da referida empresa

não possuíam permissão para utilizar aparelhos próprios de
celular durante o expediente e no ato da contratação é
celebrado um acordo de confidencialidade para a proteção e
sigilo das informações. Deste modo, houve a confirmação da
demissão por justa causa com base na Lei Geral de Proteção
de Dados, tanto em primeira quanto em segunda instância.
17. A RESPONSABILIDADE DO COLABORADOR
A promulgação da LGPD cria uma responsabilidade

maior ao colaborador, no exercício de suas funções, devendo
agir com muito mais atenção no tratamento de dados
pessoais, sejam eles digitais ou em documentos físicos, não
podendo compartilhar tais dados sem a devida autorização do
seu empregador, tendo em vista a sua posição de
subordinação.
Além disso, o funcionário deverá não somente

conhecer, mas também seguir estritamente todas as políticas
e normas internas da empresa, fazendo a máxima de atenção
principalmente às Políticas de Privacidade e Proteção de
Dados Pessoais, reportando ao encarregado de dados da
empresa qualquer incidente de segurança.
Indaga-se, no entanto, se os funcionários seriam

considerados agentes de tratamento. Para responder esta
questão, ainda em maio de 2021, a ANPD publicou uma
orientação1 para estabelecer as definições sobre os agentes
de tratamento e o encarregado de dados pessoais.
1
https://www.gov.br/anpd/pt-br/assuntos/noticias/2021-05-27-guia-agentes-de-
tratamento_final.pdf
Embora pessoas naturais possam ser agentes de
tratamento, segundo o guia, estas serão consideradas
controladores quando agirem "de acordo com os próprios
interesses, com poder de decisão sobre as finalidades e
elementos essenciais de tratamento".
Já como operadoras, esta realidade para as

pessoas naturais ocorrerá quando "atuarem de acordo com os
interesses do controlador, sendo-lhes facultada apenas a
definição de elementos não essenciais à finalidade do
tratamento". Por exemplo, médicos ou advogados, como
profissionais liberais, que lidam com informações pessoais de
pacientes ou clientes, estão atuando como controladores e
como operadores ao tratarem tais dados pessoais.
Destaca-se que a principal diferença entre o

controlador e o operador é o poder de decisão que compete
ao primeiro. Ainda segundo o guia divulgado pela ANPD, "não
são considerados controladores ou operadores os indivíduos
subordinados, tais como os funcionários, os servidores
públicos ou as equipes de trabalho de uma organização, já que
atuam sob o poder diretivo do agente de tratamento".
Ou seja, os funcionários atuarão mediante

subordinação às decisões do controlador, não sendo
considerados agentes de tratamento. Desta feita, é de suma
importância que cumpram com as políticas da organização e
assinem um acordo de confidencialidade, de modo a mitigar
quaisquer riscos decorrentes da relação de trabalho.
Contudo, cumpre destacar que tão logo esse

colaborador aja de acordo com os seus próprios interesses, no
tratamento de dados, imediatamente este será considerado
controlador, devendo arcar e assumir todas as
responsabilidades, como se controlador o fosse.
Nesse diapasão, aconselha-se que tão logo

identificadas situações como esta acima, a empresa demita o
colaborador por justa causa, sob pena de ser considerada
conivente com o incidente.
18. A RESPONSABILIDADE DO OPERADOR
Conforme já abordado no capítulo anterior, perante

a LGPD o controlador terá responsabilidade integral sobre
quaisquer incidentes de segurança envolvendo dados
pessoais. Entretanto, nestes casos, será facultado ao
controlador uma eventual ação de regresso contra este
operador.
A depender do escopo do incidente, pode-se pensar

até mesmo na falência deste operador vez que, no geral, a sua
atividade será fim e não meio, regendo-se pelo Código de
Defesa do Consumidor. Veja-se um exemplo:
Uma determinada empresa que age como

controladora tem como um de seus operadores o escritório de
contabilidade, por ela contratado. Em um determinado
incidente de segurança, decorrente de um vazamento dos
dados pessoais da controladora, esta afirme que o incidente
tenha origem na sua contabilidade. Neste caso, a
responsabilidade será objetiva do escritório contábil, e não
subjetiva, cabendo-lhe demonstrar e comprovar que não teve
qualquer culpa, nos termos do art. 14 do CDC.
Daí a importância de as empresas que atuam como
operadoras se adequarem rapidamente à LGPD, devendo-se
considerar, sobretudo, que uma vez em compliance com a Lei,
gera-se uma facilidade enorme em demonstrar aquelas
hipóteses de exclusão da responsabilidade previstas no CDC.
Ainda, corroborando com a ideia de que os

operadores deverão ser mais ágeis no processo de
adequação, pode-se notar que diversas empresas vêm
perdendo contratos no mercado, bem como oportunidades de
angariar novos clientes, em decorrência da falta de
conformidade com a LGPD.
19. O ENCARREGADO DE DADOS
Primeiramente, destaca-se que o termo mais

comum utilizado no mercado é “DPO” (Data Protection
Officer), cujo papel perante a LGPD se resume em ser a ponte
entre o titular de dados, o controlador e a ANPD.
A princípio, todos os agentes de tratamento estariam

obrigados a indicar um encarregado; entretanto, uma
regulamentação recente da ANPD2, denominada “Resolução
CD/ANPD nº 2”, publicada em 27 de janeiro de 2022, isentou
os agentes de tratamento de pequeno porte desta obrigação.
Não obstante, é importante frisar que esta dispensa

não significa que estes agentes de tratamento estarão
dispensados do cumprimento da LGPD, conforme previsto no
art. 6º desta referida Resolução:
“Art. 6º A dispensa ou flexibilização das obrigações

dispostas neste regulamento não isenta os agentes de
tratamento de pequeno porte do cumprimento dos demais
dispositivos da LGPD, inclusive das bases legais e dos
princípios, de outras disposições legais, regulamentares e
2
https://www.in.gov.br/en/web/dou/-/resolucao-cd/anpd-n-2-de-27-de-janeiro-de-
2022-376562019
contratuais relativas à proteção de dados pessoais, bem como
direitos dos titulares.”
Ainda, corroborando com o art. 6º, há a disposição

do art. 12:
“Art. 12. Os agentes de tratamento de pequeno porte devem

adotar medidas administrativas e técnicas essenciais e
necessárias, com base em requisitos mínimos de segurança
da informação para proteção dos dados pessoais,
considerando, ainda, o nível de risco à privacidade dos titulares
de dados e a realidade do agente de tratamento.”
Esclarecido este ponto, cabe retornar à questão aqui

tratada, que diz respeito ao encarregado de dados.
Desta maneira, convém deixar uma recomendação:

este encarregado deverá deter amplos conhecimentos
técnicos e jurídicos sobre temas de privacidade e segurança
da informação, a fim de auxiliar o controlador através do seu
conhecimento, incluindo também entre as suas funções:
a) atendimento às demandas dos titulares;
b) o assessoramento na emissão do relatório de

impacto à proteção de dados pessoais (RIPD);
c) a elaboração de opiniões e pareceres técnicos
acerca da proteção de dados pessoais pela
entidade;
d) o monitoramento da conformidade das atividades

de tratamento de acordo com as legislações e
regulamentações aplicáveis; e
e) a recomendação de elaboração de relatórios de

impacto à proteção de dados pessoais (RIPD)
sempre que necessário.
Na verdade, qualquer funcionário poderá exercer a

função de DPO, desde que não haja conflito de interesses;
entretanto, a empresa controladora deverá sempre fazer
atenção ao nível de conhecimento desse funcionário.
Um outro ponto importante, em destaque, diz

respeito ao salário do DPO, vez que não se trata de um
profissional barato, havendo, pois, um movimento no mercado
com o fito de terceirizar esta função a empresas
especializadas, o que é denominado DPOaaS (“DPO as a
service” ou DPO como um serviço).
Contudo, de posse destas informações, cumpre
destacar uma situação que se percebe no mercado: algumas
empresas estão sugerindo capacitar um de seus profissionais
de TI ou, até mesmo de Segurança da Informação, para o
cargo de DPO, com a finalidade de redução de custos.
Entretanto, é visível que talvez esta não seja a maneira mais
inteligente para que se dê esta contenção de gastos, conforme
se depreende da situação abaixo:
Tome-se como exemplo uma empresa que escolha

um de seus funcionários que tenha como salário o valor de
R$2.500,00 e resolva investir nele, pagando-lhe alguns
treinamentos, para que este se torne o seu DPO exclusivo.
Para deixá-lo um pouco mais motivado, além dos treinamentos
decide-se por lhe conceder um aumento salarial, ajustando-o
para R$ 3.000,00. Aqui instaura-se o problema, vez que
posteriormente esse profissional poderá acessar algum site de
pesquisa salarial e logo descobrirá que um DPO tem como
salário algo em torno de R$20.000,00. Indaga-se: será que
esta empresa não perderá esse profissional para o mercado?
Daí a ideia de que esta pode não ser a alternativa mais
acertada.
Com base no exemplo anterior, parece ser mais
inteligente a contratação de uma empresa terceira para
exercer essa função e utilizar-se de um profissional de sua
confiança como apoio a essa empresa terceira, para que seja
possível essa redução de custos almejada.
Para finalizar, além dos pontos abordados, não se

pode olvidar do que preceitua o §1º do art. 41, ou seja, por se
tratar de uma figura tão importante para a efetivação dos
direitos dos titulares, todas as informações relacionadas ao
encarregado de dados deverão estar facilmente disponíveis,
de forma clara e objetiva, e de preferência no site da empresa.
20. A ANPD E SEU PAPEL
A ANPD é a sigla da Autoridade Nacional de

Proteção de Dados, um órgão do Poder Executivo Federal que
tem o dever de zelar, implementar, e fiscalizar o cumprimento
da LGPD no país. Este órgão funciona como uma espécie de
agência reguladora para a proteção de dados pessoais e a
privacidade dos cidadãos, nos mesmos moldes da ANAC para
a aviação civil ou a ANATEL para as telecomunicações.
À ANPD caberá regulamentar alguns temas que não

foram contemplados diretamente na LGPD, além de
estabelecer padrões para o tratamento de dados pessoais,
facilitando as atividades dos agentes de tratamento no
cumprimento da Lei.
A criação deste órgão com independência técnica

para fiscalizar o cumprimento da LGPD faz com que o Brasil
esteja mais próximo de ser considerado um país com boas
práticas no que diz respeito à proteção de dados pessoais, nos
termos elencados pela legislação da União Europeia (o já
mencionado RGPD), o que tornaria o país adequado para
receber transferências de dados pessoais de países
pertencentes à União Europeia.
21. A APLICAÇÃO DA LGPD AO PODER PÚBLICO
Se de um lado a LGPD é uma necessidade no

setor privado, por outro, a LGPD, pode ser uma pedra no
sapato dos gestores públicos.
Todavia, o que se tem percebido é uma certa

inércia por parte do governo, em todas as esferas. Isto mesmo,
o governo que deveria ter sido o primeiro a cumprir com as
suas obrigações basicamente não se movimentou.
A razão desse comodismo, por parte dos órgãos

públicos, ainda é algo que carece de uma explicação, vez que
em função da sua necessidade e obrigatoriedade, o legislador
tratou de contemplar um capítulo inteiro da Lei com
disposições acerca deste tratamento de dados específico,
alterando significativamente o ambiente de segurança da
informação na esfera da Administração Pública, em todos os
entes federativos.
Fato é que, a partir desta nova legislação, cada

agente público passou a ser peça fundamental na criação de
um ambiente adequado de proteção de dados pessoais no
país.
Entretanto, o que se percebe é que,
especialmente na esfera municipal, ainda não houve grande
movimentação para o compliance com a Lei por parte dos seus
gestores, sendo crucial a adequação aos fundamentos e
princípios elencados pela LGPD, o que não é tarefa simples,
vez que envolve o governo que é responsável diretamente por
uma infinidade de dados pessoais dos cidadãos.
Para se ter uma ideia, recentemente, houve um

vazamento de grandes proporções no Governo Federal que
ainda está sendo investigado, em que foram expostos dados
pessoais de mais de 243 milhões de brasileiros3.
Com algumas pequenas especificidades, o Poder

Público deverá adotar basicamente os mesmos procedimentos
de adequação que o setor privado, baseando-se nos princípios
que norteiam a Administração Pública, tais como: a legalidade,
a impessoalidade, a moralidade, a publicidade e a eficiência.
Todavia, no âmbito da Administração Pública, o exercício de
direitos pelos titulares de dados deve ser devidamente
harmonizado com os ditames da Lei de Acesso à Informação
– LAI, a fim de se evitar eventuais problemas judiciais.
3
https://www.securityreport.com.br/destaques/nova-falha-no-sistema-de-
seguranca-do-ministerio-da-saude-expoe-dados-de-243-
brasileiros/#.YhFa1RPMKqA
Já, do ponto de vista das hipóteses de tratamento
de dados pessoais, a grande parte dos dados utilizados pela
Administração Pública deverá se dar pela utilização de quatro
bases de tratamento presentes na LGPD:
i) a base legal prevista no inciso II do art. 7º;

ii) a base legal da alínea “a” do inciso II do art. 11,
ou seja, para o cumprimento das atribuições legais
do próprio ente público;
iii) a base legal prevista no art. 7º, inciso III; ou
iv) a base legal prevista na alínea “b” do inciso II
do art. 11, que se refere à execução de políticas
públicas.
Embora a LGPD não proíba o tratamento pela

Administração Pública utilizando-se das demais bases legais
permitidas pela legislação, é importante observar o
Considerando 43 do RGPD, que é a legislação europeia de
proteção de dados que embasa a LGPD, o qual proíbe de
forma explícita a utilização da base legal do legítimo interesse
pelo Poder Público, tendo em vista a posição de
vulnerabilidade do titular de dados pessoais perante o Estado.
Outrossim, o tratamento com base no

consentimento também deve ser observado com cautela pelo
Poder Público, vez que só poderia ser realizado quando a
relação entre o cidadão e o Estado pudesse ser considerada
facultativa. Isto quer dizer que a recusa do cidadão em
consentir não poderia prejudicar, de forma alguma, o seu
acesso a bens e serviços públicos.
Neste sentido, quando analisado o art. 14 da

LGPD, que diz respeito ao consentimento dos pais e
responsáveis quanto ao tratamento de dados de crianças,
espera-se haver um pronunciamento por parte da ANPD a
respeito deste assunto.
Também é interessante verificar o art. 52 desta

Lei, que regula de forma específica as sanções que poderão
ser aplicadas pela Autoridade Nacional de Proteção de Dados
Pessoais (ANPD). A norma é expressa, em seu §3º do art. 52,
no sentido de que estas sanções poderão ser aplicadas às
entidades e aos órgãos públicos, sem prejuízo do disposto na
Lei nº 8.112/90, na Lei nº 8.429/92, e na Lei nº 12.527/11.
Destarte, há referência expressa ao Estatuto do

Servidor Público Federal, à Lei de Acesso à Informação (LAI)
e à Lei de Improbidade Administrativa (LIA), estando certo de
que a responsabilidade pela violação aos ditames da LGPD
ecoa para além das suas previsões sancionatórias
específicas.
Vale lembrar que os atos de improbidade

administrativa são divididos em atos que gerem
enriquecimento ilícito ao agente ou a terceiro a ele relacionado
(art. 9º da LIA), atos que gerem prejuízo ao erário (art. 10 da
LIA) e atos que atentarem contra os princípios da
Administração Pública (art. 11 da LIA).
Para ilustrar melhor as situações que podem gerar

este tipo de problema, tome o exemplo de um servidor público
da Secretaria de Saúde de um pequeno município que,
buscando atingir a pessoa com a qual tenha criado inimizade,
no último pleito eleitoral ocorrido na cidade, torne público um
dado pessoal sensível a ela pertencente, objetivando atingir a
sua honra perante os cidadãos daquela região.
Deste modo, o servidor público age em violação

clara e manifesta à Lei Geral de Proteção de Dados, gerando
à Prefeitura Municipal dever de responder perante a ANPD.
Entretanto, perante a própria Prefeitura, este agente público
deverá responder a um procedimento administrativo, além de
responder pela prática de ato de improbidade administrativa
nos termos do art. 11 da LIA.
Além disto, caso o vitimado pela conduta do
servidor público ingresse em juízo contra a Prefeitura, obtendo
êxito na demanda, a conduta do agente violador passará a
causar um efetivo e concreto dano ao Erário municipal,
podendo o servidor passar a ser enquadrado como infrator do
artigo 10 da LIA.
Ainda, partindo-se da mesma situação do exemplo

disposto, pode-se imaginar que esse mesmo servidor público,
apossado dos dados pessoais sensíveis, armazenados nos
sistemas da Secretaria, decida vendê-los para uma pessoa
que, posteriormente, os utilizará para a aplicação de golpes
criminosos. Haverá, pois, conduta prevista art. 9º da LIA, vez
que ele receberia uma vantagem patrimonial indevida
originada de uma violação da LGPD.
Tais exemplos demonstram a importância da

realização de procedimentos de adequação à LGPD, a fim de
evitar problemas jurídicos e fiscalizações. Entretanto, situação
ainda mais complexa e que deve gerar ainda mais problemas
aos gestores públicos se dá no compartilhamento de dados
pessoais com entidades privadas, ocasiões estas em que o
Poder Público deverá fazer especial atenção aos artigos 26 e
27 da LGPD.
Isto porque a legislação permite a transferência de
dados pessoais a agentes privados apenas em situações
específicas, o que pode gerar uma celeuma de problemas aos
administradores públicos, que deverão realizar a adequação
deste tipo de transferência com os agentes privados que
contratarem.
Portanto, os gestores públicos, principalmente de

Prefeituras, devem estar atentos a estas especificidades
contidas na LGPD, tendo em vista que negar a execução de
Lei Federal, sem dar o motivo da recusa ou da impossibilidade,
constitui, em tese, crime de responsabilidade tipificado pelo
art. 1º, inciso XIV do Decreto-Lei nº 201/67. Ademais, a
omissão em praticar atos expressamente previstos em Lei
também constitui infração político-administrativa prevista no
art. 4º, inciso VII da mesma norma.
Além do controle ordinário realizado pelas

corregedorias, tribunais de contas e pelo Ministério Público, a
legislação prevê também um controle estrito da ANPD sobre
os órgãos da Administração Pública. Um exemplo disto é a
obrigação de que os contratos e convênios que preveem a
transferência de dados pessoais para agentes privados sejam
necessariamente compartilhados com a Autoridade Nacional
(art. 26, §2º da LGPD).
A ANPD poderá também solicitar todas as

informações sobre o tratamento, enviar informes com as
medidas cabíveis, e até mesmo solicitar a publicação do
Relatório de Impacto à Proteção de Dados Pessoais (RIPD)
pelo Poder Público.
Sugere-se também aos gestores públicos que sejam

realizados debates para a criação de políticas públicas que
digam respeito à privacidade e à proteção de dados pessoais
naquela esfera federativa, discutindo-se, de forma mais geral,
iniciativas que integrem governo digital, privacidade e
transparência da Administração Pública.
22. TRANSFERÊNCIA INTERNACIONAL DE
DADOS PESSOAIS
Uma vez esclarecida e compreendida esta matéria

proteção de dados sob o olhar interno do território nacional,
agora é o momento de discorrer sobre este tema da porta para
fora, ou seja, o que deve se fazer quando o assunto for
compartilhamento de dados pessoais com outros países.
Primeiramente, insta ressaltar que a LGPD não

proíbe a transferência internacional de dados, todavia,
regulamenta o procedimento, fazendo atenção principalmente
à vedação da transferência a países com legislação
inadequada sobre a proteção de dados pessoais.
Outro ponto de destaque se dá em transferências

internacionais, que estão muitas vezes ocultas dos próprios
agentes de tratamento. Tendo em vista que embora a maior
parte destas transferências se dê para servidores localizados
nos Estados Unidos ou países da Europa, deve-se fazer
atenção que a maioria dos países no mundo não possuem
uma legislação adequada de proteção de dados.
Ainda nesta toada, cabe ressaltar que há uma

diferença entre a transferência e o mero trânsito de dados.
Inclusive, é oportuno salientar que a autoridade de proteção
de dados do Reino Unido tratou de destacar e abordar essa
diferenciação entre esses dois tipos de eventos.
Neste sentido, pode-se pegar de exemplo uma

simples troca de e-mails entre duas áreas de um escritório no
Brasil, mas cujo processamento se dê nos Estados Unidos.
Essa operação não teria o condão de ser enquadrada como
uma transferência internacional de dados, situação que, se
ocorresse, certamente acarretaria um grande imbróglio aos
agentes de tratamento, que seriam obrigados a mapear, nos
mínimos detalhes, o fluxo de todos os dados pessoais.
Por outro lado, poderiam ser considerados

exemplos de transferência internacional de dados pessoais,
por exemplo:
(i) o compartilhamento de base de dados de RH

entre uma matriz localizada no Brasil e uma filial
localizada em outro país;
(ii) o armazenamento de dados em data centers
fisicamente localizados no exterior;
(iii) a terceirização de serviços de atendimento ao
consumidor para empresa localizada no exterior;
(iv) a contratação de provedor de armazenamento
em nuvem de país estrangeiro.
Neste sentido, se uma empresa norte-americana,

instalada no Brasil necessitar transferir os dados pessoais
coletados no país para outras empresas localizadas nos
Estado Unidos, tal comunicação será considerada como uma
transferência internacional de dados, tendo em vista que estes
dados sairão da jurisdição brasileira e serão encaminhados a
outra jurisdição.
As transferências internacionais também devem

estar balizadas em uma das hipóteses previstas no art. 33 da
LGPD, sendo que esta transferência países que não
possuírem nível adequado de proteção de dados poderá ser
embasada em documentos e cláusulas contratuais previstos
nas alíneas do inciso II, cujo conteúdo deverá ser regulado
pela ANPD.
Da mesma forma, espera-se que a ANPD defina

quais são os países com nível adequado de proteção de dados
pessoais para que se permita obter um maior grau de
segurança jurídica nestas transferências.
23. A VPN COMO MANOBRA DA LEI
A utilização de conexões por VPN (Virtual Private

Network) é uma solução corporativa para a proteção de
usuários domésticos que desejam privacidade ao acessar
serviços não-disponíveis em sua região, como em viagens a
trabalho e no home office. Estas conexões VPN têm a
finalidade de criar uma espécie de “túnel” exclusivo de fluxo de
rede para “esconder” o tráfego de dados, de forma
criptografada, protegendo as informações contra o acesso de
terceiros.
Uma vez que a VPN funciona como um túnel seguro

entre uma máquina operando remotamente e o sistema central
da organização, os dados que passam ao longo não podem
ser monitorados para fins de controle ou limitação de acesso.
Dito isto, algumas empresas podem se utilizar desta
prerrogativa para tentar se isentar das obrigações atinentes a
transferências internacionais de dados pessoais.
Isto porque uma empresa que tenha um funcionário

trabalhando no processamento de dados na Venezuela, por
exemplo, poderia alegar que a utilização de VPN a isentaria de
cumprir com os ditames do art. 33 da legislação, vez que o
tratamento poderia ser considerado como ocorrendo no Brasil.
Entretanto, ainda assim haverá uma transferência

internacional de dados pessoais, vez que será possível a este
funcionário imprimir tudo o que acontece, no monitor do seu
equipamento, havendo um tratamento de dados nos termos da
legislação, aplicando-se, portanto, o conceito previsto no art.
5º, inciso XV da Lei, que afirma que a transferência
internacional de dados pessoais é qualquer “transferência para
país estrangeiro ou organismo internacional do qual o país
seja membro”.
24. POR QUE SE ADEQUAR À LGPD
O estabelecimento de programas de compliance

com a LGPD não deve servir apenas para se evitar multas e
sanções, devendo ser visto pelos gestores como uma parte
importante da estratégia de transformação digital da empresa,
vez que questões nunca levantadas, como um plano de
continuidade de negócio, um plano de contingência, o uso de
um backup e de um software de antivírus, serão levadas em
consideração.
Além disso, a adequação com a LGPD assegurará

ganhos reputacionais importantes aos agentes de tratamento
em um mercado cada vez mais competitivo.
A LGPD também deve trazer mais segurança nas

relações de trabalho, uma vez que o funcionário poderá ser
demitido por justa causa, com mais facilidade, em caso de
alguma infração à legislação. Ademais, se antes o seu limite
era a simples demissão, com a chegada desta nova legislação,
este funcionário haverá que pensar muito antes de cometer
alguma infração à LGPD, vez que poderá responder em outras
esferas sobre as suas condutas no tratamento de dados
pessoais.
É o caso, do exemplo já abordado no capítulo 16
deste livro, em que um empregado que foi demitido por justa
causa por ter enviado informações internas de um dos clientes
da empresa para seu e-mail pessoal. Neste e-mail estavam
envolvidos números de CNPJ, de CPF, números de cartões,
dentre outras informações.

de Dados tanto em primeira quanto em segunda instância.
Em linhas gerais, a LGPD provocará diversas

mudanças em todos os setores, incluindo uma redução nas
demandas trabalhistas, vez que é razoável que doravante os
empregados deem mais atenção aos seus serviços, sobretudo
porque agora poderão sofrer algumas consequências e
represálias no mercado de trabalho.
25. SEGURANÇA DA INFORMAÇÃO
Para entender mais a fundo o que realmente

constitui a segurança da informação, deve-se delinear
primeiramente quatro conceitos, quais sejam:
(i) vulnerabilidade, que pode ser entendida como

qualquer fraqueza que atinge um determinado
sistema, processo, ambiente ou protocolo de
negócios;
(ii) ameaças, que são potenciais situações que

podem vir a atingir determinada vulnerabilidade do
negócio;
(iii) incidente, quando a ameaça se concretiza sobre

determinada vulnerabilidade; e
(iv)controles, que são medidas utilizadas para

impedir ou mitigar a ocorrência de incidentes, bem
como para reduzir as suas consequências
negativas.
Portanto, a conformidade com a LGPD não está

relacionada apenas com algumas operações isoladas e
pontuais de implementação de recursos tecnológicos ou
utilização de templates de documentos retirados da internet.
Pelo contrário, este enquadramento pressupõe o
estabelecimento de um modelo de governança, no tocante à
segurança da informação, que considere todos os riscos
operacionais e, consequentemente, implemente os controles
adequados para gerenciá-los ou eliminá-los, sob o risco de o
agente de tratamento incorrer em pesadas sanções ou em
condenações na esfera civil.
Diante disto, já se consegue definir melhor o

conceito de segurança da informação, que consiste em um
conjunto de regras e práticas elaboradas para a proteção da
informação, incluindo-se dados pessoais, sejam eles sensíveis
ou não. Trata-se de um conjunto estruturado de ações cujo
objetivo é a mitigação de riscos, garantindo-se a privacidade
dos titulares de dados e possibilitando a própria continuidade
do negócio em casos de incidentes.
Adentrando um pouco mais no tema, a segurança

da informação está fundamentada em pelo menos três pilares,
quais sejam:
1. a confidencialidade, que garante que as
informações serão acessadas somente por pessoas
autorizadas;
2. a integridade, que garante que as informações
estão íntegras, que não sofreram qualquer
adulteração e que até poderão ser alteradas,
contanto que por pessoas autorizadas;
3. a disponibilidade, que garante que as
informações estão acessíveis facilmente para as
pessoas autorizadas.
Preenchidos os requisitos de pelo menos estes três

pilares, pode-se afirmar que aquele sistema que preserva as
informações é seguro. De fato, a manutenção da segurança
dos dados pessoais dos titulares se insere no escopo maior da
segurança da informação, tendo em vista que esses dados
são, em si, informações sobre determinados indivíduos.
Por fim, em um conceito um pouco mais abrangente,

pode-se contemplar um quarto pilar, a autenticidade, que
garante que as pessoas que estão tentando acesso às
informações sejam realmente aquelas autorizadas, devendo
sempre manter os devidos registros destas ações.
A título de esclarecimento, veja um exemplo de
incidente de segurança para cada um desses quatro pilares da
segurança da informação:
1) Confidencialidade: um colaborador revela

algumas informações a terceiros não autorizados ao
acesso àquelas informações;
2) Integridade: o colaborador do RH recebe um
atestado médico de um funcionário e por um
descuido lança o CID errado e anos depois essa
pessoa tem um problema com a sua aposentadoria,
em decorrência desse erro desse colaborador;
3) Disponibilidade: uma operadora de plano de
saúde não libera uma cirurgia de um paciente, por
conta de uma falha sistêmica e essa pessoa vai a
óbito;
4) Autenticidade: um falso oficial de justiça se
apresenta a uma empresa, portando uma
identificação fake além de um mandado de busca e
apreensão fabricado por ele, levando consigo um
computador contendo uma porção de informações
de clientes.
26. AS PRINCIPAIS AMEAÇAS EM SEGURANÇA
DA INFORMAÇÃO
É crescente, entre as empresas, o sentimento de
que os seus dados e informações são extremamente valiosos
e podem ser alvos de ataques por agentes mal-intencionados.
Esses ataques são realizados por diversos motivos e, entre
eles, para a aplicação de golpes financeiros ou para atingir a
reputação da empresa.
Nesta toada, a segurança da informação surge

como um conjunto de ações para a proteção dos dados,
possibilitando a continuidade do negócio e mitigando riscos
através da proteção aos quatro pilares da segurança da
informação, que uma vez mais faz sentido destacá-los. São
eles:
i) Confidencialidade, que garante que os dados não

serão conhecidos por terceiros não autorizados;
ii) Integridade, que garante que os dados estarão

sempre íntegros e que não sofreram e tampouco
sofrerão quaisquer espécies de alterações, se não
as autorizadas;
iii) Disponibilidade, que garante que as informações
do titular estarão sempre disponíveis e acessíveis; e
iv) Autenticidade, que garante que as informações

poderão ser entregues a uma outra pessoa ou
sistema, tão somente se autorizados.
A segurança da informação também é dividida em

três camadas de proteção: a física, a lógica e a humana.
A camada física se refere ao ambiente em que os

dados estão hospedados fisicamente (computadores,
servidores, etc), protegendo contra ameaças externas, como
desastres naturais, incêndios, desabamentos e acessos
indevidos ao local.
A camada lógica se refere ao uso de softwares que

são responsáveis pelo funcionamento do hardware e pelos
dados que lá estão hospedados. Os cuidados de proteção são
as atualizações dos softwares para correções de
vulnerabilidades e implementação de melhorias na segurança.
Já a camada humana é relacionada às pessoas que

fazem o tratamento dos dados, seja através dos sistemas ou
outros meios. Essa é considerada a camada mais complexa
pois exige uma série de medidas para garantir uma proteção
efetiva.
A título de complementariedade, as ameaças mais

comuns para as empresas estão relacionadas com a utilização
de técnicas de phishing e de engenharia social, além de
eventuais ataques de ransomware, spyware e outros tipos de
vírus, que podem gerar impactos financeiro quando do ponto
de vista reputacional.
O phishing é um tipo de fraude onde um agente mal-

intencionado tenta obter dados pessoais e financeiros do
usuário, utilizando-se de meios técnicos e de engenharia
social. Pode ocorrer por meio de envio de mensagens
eletrônicas, envolvendo, por exemplo:
(i) o envio de uma comunicação que pareça oficial,

como de um banco, para que a pessoa digite seus
dados bancários e os forneça inadvertidamente ao
infrator, cracker; e
(ii) técnicas para atrair a atenção da pessoa, através
da curiosidade, solidariedade ou alertas de
consequências caso não acesse determinado site
ou execute um procedimento específico, tudo com o
objetivo de fazer a pessoa revelar os seus dados.
Já os vírus são um termo genérico para softwares
maliciosos que podem se instalar em equipamentos
eletrônicos, tais como malwares, cavalo de troia (trojans),
adwares, dentre outros, que têm sempre o objetivo de
prejudicar o usuário. Alguns tipos de vírus mais conhecidos
são:
(i) worms, que consomem recursos do computador

infectado e da rede;
(ii) spywares, que são softwares de espionagem que
monitoram todos os registros de log do
equipamento, com o intuito de repassar as
informações para terceiros;
(iii) keyloggers: que gravam cada tecla digitada em
um computador, sem a autorização do usuário;
(iv)screenloggers, que capturam a imagem ao redor
do mouse quando este é acessado pelo usuário,
podendo descobrir senhas mesmo com a utilização
de teclados virtuais.
(v) adwares, que exibem anúncios indesejados,
inclusive levando o navegador a abrir sites de forma
não autorizada com os anúncios;
(vi)backdoors, que permitem que o cracker comande
o computador remotamente e execute uma
determinada atividade, tal como baixar um novo
malware, enviar dados do usuário ou enviar spams,
por exemplo; e
(vii) cavalos de troia (trojans), que acessam o
computador disfarçado como programas comuns e
legítimos, possibilitando a abertura de uma “porta”
de acesso ao equipamento para a invasão dos
crackers.
Portanto, deve-se fazer atenção às medidas de

segurança da informação, sobretudo no contexto de profunda
transformação digital no cenário mundial, em que o motor da
economia é justamente a informação.
Repise-se que algumas das medidas que podem ser

tomadas são bem simples, como, por exemplo, a utilização de
firewalls, antivírus, a desabilitação de portas USB, dentre
outras.
27. PUBLICIDADE DO INCIDENTE DE
SEGURANÇA
Primeiramente, deve-se frisar que não existe

método de segurança à prova de falhas. Neste sentido,
mesmo que todo o controle e medidas de segurança sejam
implementados, por menor que seja, sempre haverá a
possibilidade um incidente de segurança ocorrer.
Isto posto, é oportuno destacar que o caput do art.

48 da legislação afirma que o controlador deverá comunicar à
autoridade nacional e ao titular de dados a ocorrência de
quaisquer incidentes de segurança, que possam acarretar
risco ou dano relevante aos titulares. O conceito de “dano
relevante” não é definido pela Lei, motivo pelo qual espera-se
que haja alguma regulamentação futura sobre o tema.
Em qualquer caso, a atitude mais prudente é a

atuação com a boa-fé, e uma vez identificado o incidente,
aconselha-se que este seja informado tanto à ANPD quanto
ao titular, fazendo jus ao princípio de transparência,
estampado no art. 6º, inciso VI.
A título de destaque, o §2º do art. 48, dispõe que a

ANPD realizará um juízo de ponderação acerca do incidente
de segurança, podendo, aos seus próprios critérios, impor ao
controlador a obrigação de tomar todas as medidas
necessárias para reverter ou mitigar as consequências do
incidente, podendo inclusive ordenar que o controlador dê
ampla divulgação do mesmo nos meios de comunicação.
Nesta análise da gravidade do incidente, a ANPD

também verificará, nos termos do §3º, o grau de
confidencialidade das informações vazadas, ou seja, se teriam
sido aplicados métodos de criptografia, anonimização ou
pseudonimização das informações previamente ao incidente,
tornando-as ilegíveis a terceiros não autorizados, a fim de
determinar as medidas cabíveis.
28. AS SANÇÕES
Em tese, a sanção dependerá primordialmente da

gravidade da infração, sendo importante ressaltar que estas
não serão aplicadas apenas em casos de incidentes de
segurança, mas também para aqueles agentes de tratamento
que infringirem qualquer norma da LGPD.
As penalidades específicas estão dispostas no art.

52 da legislação, dentre as quais se destaca as multas, que
podem chegar a 50 milhões de reais, para cada infração, além
da suspensão de base de dados, a divulgação do incidente e
até mesmo o bloqueio definitivo dessa operação de tratamento
de dados, que podem levar o agente de tratamento à falência.
Dentre as sanções dispostas na Lei, uma que tem

passado totalmente despercebida é a suspensão das
atividades de tratamento. Como não se pode verificar e
constatar um segmento, no mercado, capaz de atuar sem a
real necessidade do tratamento de dados, a aplicação desta
penalidade seria semelhante a suspensão de todas as
atividades de uma determinada empresa.
Já o processo fiscalizatório está disposto na
Resolução CD/ANPD nº 14, de 28 de outubro de 2021, que
trata do “Regulamento do Processo de Fiscalização e do
Processo Administrativo Sancionador no âmbito da Autoridade
Nacional de Proteção de Dados”, que prevê em seu art. 5º a
possibilidade de a autoridade nacional solicitar “cópia de
documentos, físicos ou digitais, dados e informações
relevantes para a avaliação das atividades de tratamento de
dados pessoais, no prazo, local, formato e demais condições
estabelecidas pela ANPD”, ou seja, se uma empresa não
possuir um documento de confecção obrigatória e enviar no
prazo perquirido pelo órgão regulador, haverá uma infração.
4
https://www.in.gov.br/en/web/dou/-/resolucao-cd/anpd-n-1-de-28-de-outubro-
de-2021-355817513
29. AS MEDIDAS QUE DEVEM SER ADOTADAS
Primeiramente, antes de tecer comentários sobre as

mudanças e ajustes que as empresas deverão ter, deve-se
fazer atenção ao art. 50 da LGPD, presente no Capítulo VII da
Lei, que traz em linhas gerais que os agentes de tratamento
poderão formular regras de boas práticas e de governança,
que busquem prover mais segurança à organização e aos
titulares de dados, o que ocorre com investimentos em
segurança da informação.
Note que neste art. 50 o legislador se valeu do verbo

“poder” e não do verbo “dever”, tratando-se, pois, de uma
sugestão. Posto isto, o que de fato é imprescindível está
contemplado nos arts. 46 e 47. Entretanto, primeiramente faz-
se necessário entender mais a fundo o que realmente constitui
a segurança da informação, delineando-se quatro conceitos,
quais sejam:
(i) vulnerabilidade, que pode ser entendida como

qualquer fraqueza que atinge um determinado
sistema, processo, ambiente ou protocolo de
negócios;
(ii) ameaças, que são potenciais situações que
podem vir a atingir determinada vulnerabilidade do
negócio;
(iii) incidente, quando a ameaça se concretiza sobre

determinada vulnerabilidade;
(iv) controles, que são medidas utilizadas para

impedir ou mitigar a ocorrência de incidentes, bem
como para reduzir as suas consequências
negativas.
Desta forma, muito do que é disposto no Capítulo VII

da Lei, sobre segurança e boas práticas, encontra paralelos
com o disposto nas normas da família ISO/IEC 27000, que
dispõem sobre a implementação de sistemas de gestão da
segurança da informação no âmbito de qualquer organização,
incluindo o estabelecimento de medidas físicas, técnicas e
organizacionais.
A referida norma faz menção a estas medidas,

relacionando-as principalmente à necessidade de não se
“quebrar” um dos 4 pilares da segurança da informação, quais
sejam: a confidencialidade, a integridade, a disponibilidade e a
autenticidade.
Nesta toada, na contramão do que vem sendo
alardeado, a LGPD não regulamenta apenas as situações
relacionadas a vazamentos de dados pessoais, muito embora
este seja o incidente de segurança mais comum.
Importante destacar que o vazamento está inserido

no escopo da proteção de dados pessoais, contudo, afeta
apenas um dos pilares da segurança da informação. Embora
já abordados em outros pontos, faz-se necessário destacá-los
uma vez mais. São eles:
i) Confidencialidade, que garante que os dados não

serão conhecidos por terceiros não autorizados;
ii) Integridade, que garante que os dados estarão

sempre íntegros e que não sofreram e tampouco
sofrerão quaisquer espécies de alterações, se não
as autorizadas;
iii) Disponibilidade, que garante que as informações

do titular estarão sempre disponíveis e acessíveis;
iv) Autenticidade, que garante que as informações

poderão ser entregues a uma outra pessoa ou
sistema, tão somente se autorizados.
É importante realçar que há uma congruência entre
o disposto nas normas da família ISO/IEC 27000 e a LGPD,
ainda maior, se observado o caput do artigo 46, que obriga os
agentes de tratamento a disporem de medidas técnicas e
administrativas capazes de proteger os dados pessoais de
ameaças humanas e acidentais.
Portanto, a conformidade com a LGPD não está

relacionada apenas com algumas operações isoladas e
pontuais de implementação de recursos tecnológicos ou
utilização de templates de documentos retirados da internet.
Pelo contrário, este enquadramento pressupõe o
estabelecimento de um modelo de governança, sobretudo do
ponto de vista de segurança da informação, considerando
todos os riscos operacionais e, consequentemente,
implementando os controles adequados para gerenciá-los ou
eliminá-los, sob o risco de o agente de tratamento incorrer em
pesadas sanções ou em condenações na esfera civil.
Como bem se observa, nos artigos 46 e 47 o

legislador foi bem claro na utilização dos verbos “dever” e
“obrigar”, devendo os agentes de tratamento implementar as
medidas de segurança aptas a proteger os dados pessoais,
evitando acessos não autorizados, sejam em situações ilícitas
ou até mesmo acidentais.
A título de complementariedade, é importante

ressaltar que a segurança da informação se refere não
somente aos documentos salvos em meio digital, mas também
às informações contidas em documentos físicos.
Neste sentido, o art. 1º da LGPD dispõe claramente

sobre o “tratamento de dados pessoais, inclusive em meios
digitais”, ou seja, o legislador tratou de fazer forte referência às
informações em documentos físicos, contidas em arquivos,
pastas, armários, etc.
Desta forma, como exemplos de medidas técnicas,

é possível citar a instalação de softwares de antivírus e de
firewall, além do bloqueio automático de telas. Já com relação
às medidas administrativas, pode-se citar a criação de uma
política de mesa limpa, a utilização de senhas em impressoras
de uso compartilhado, a instalação de um sistema adequado
de refrigeração na sala de servidores, dentre outras.
30. PLANO DE AÇÃO
No plano de adequação à Lei Geral de Proteção de

Dados, o primeiro passo é a identificação de todas as
vulnerabilidades e ameaças relacionadas com a segurança da
informação no âmbito da empresa.
Para isso, é necessário que se tire uma espécie de

fotografia, como se fosse um exame de raio-X da empresa,
que é obtido através do preenchimento de um formulário de
identificação de todas as lacunas da organização, o que é
denominado “gap assessment”.
A partir da identificação destas lacunas que podem

gerar ameaças aos ativos da empresa, é elaborado um plano
de ação, com todas as medidas que devem ser implementadas
para cada vulnerabilidade encontrada.
Em paralelo, é elaborada uma matriz de riscos, que

visa demonstrar exatamente qual é o risco, o seu impacto e,
consequentemente, o custo da sua mitigação, possibilitando
que a organização adote posturas baseadas na eliminação,
redução ou até mesmo na aceitação de alguns riscos.
31. DATA MAPPING
Para o estabelecimento de um programa de

compliance efetivo com a LGPD, deve existir um mapeamento
efetivo dos dados pessoais tratado pela empresa (denominado
data mapping). Entretanto, para a elaboração deste
documento, é necessário que antes haja um mapeamento, de
forma satisfatória, de todos os processos da organização.
Desta maneira, com o mapeamento de processos, é

possível identificar exatamente os setores e procedimentos
específicos em que há, de fato, o tratamento de dados,
tornando possível o data mapping, que é o documento em que
se contemplam as espécies de dados tratados pela empresa,
bem como as hipóteses de tratamento e períodos de retenção,
delineando-se todo o ciclo de vida de cada dado.
32. ADEQUAÇÃO CONTRATUAL
A adequação dos contratos da empresa deve ser

realizada para mitigar e até mesmo eliminar os riscos jurídicos
advindos da LGPD. Assim, a empresa pode estabelecer o
escopo e as responsabilidades no tratamento de dados para
cada um dos seus fornecedores, clientes e colaboradores,
mitigando os seus próprios riscos contratuais.
Essa adequação contratual é ainda mais importante

quando se fala em transferências internacionais de dados
pessoais, uma vez que a própria legislação prevê a existência
de cláusulas e garantias contratuais para que ocorram estas
transferências.
Entretanto, a adequação contratual, ao contrário do

que muitos pensam, está muito distante de ser a única peça
em um programa de compliance efetivo com a LGPD, sendo
apenas um dos itens que devem ser observados e
implementados para a adequação com a Lei.
Em outras palavras, a adequação a LGPD é o todo,

sendo a adequação contratual uma pequena parte deste todo.
33. IMPLEMENTAÇÃO DE POLÍTICAS
Muito mais do que meros documentos de

orientação, as políticas são verdadeiros guias para provocar
uma mudança de conduta necessária dentro da empresa,
possibilitando assim o surgimento de uma verdadeira cultura
de proteção de dados pessoais, sobretudo se considerado
também do ponto de vista da segurança da informação.
No caso específico da LGPD, deve-se atentar para

algumas políticas mais importantes, como:
1) a política de privacidade e proteção de dados;

2) a política de segurança da informação;
3) a política de backup;
4) a política de criptografia;
5) a política de senhas;
6) a política de registro de logs;
7) a política de cookies;
8) a política de acesso às instalações físicas da
empresa
9) e a política e plano de resposta a incidentes de
segurança.
Estas políticas auxiliam na conformidade da
empresa com a legislação, além de possibilitarem que a
empresa aja rapidamente na ocorrência de quaisquer
problemas relacionados com a segurança da informação e a
privacidade dos dados pessoais.
34. O CANAL DO TITULAR
O canal do titular é uma forma de comunicação

direta com o titular de dados, permitindo o exercício dos seus
direitos previstos na LGPD.
O intuito aqui é permitir um atendimento de forma

rápida e efetiva às demandas do legítimo proprietário dos
dados pessoais, a fim de mitigar qualquer tipo de problema
jurídico ou regulatório que possa surgir.
Com um bom atendimento, reduz-se a chance de o

titular ingressar com algum tipo de demanda judicial ou
perante a ANPD.
É importante frisar que a LGPD não define um meio

específico de se estabelecer este canal com o titular.
Entretanto, em cumprimento ao princípio de transparência e
prestação de contas, o que se espera é que as organizações
se valham de canais onde consigam guardar os logs de
registros das demandas dos seus titulares de dados.
É importante destacar que a Lei não valeu deste

termo, todavia, contemplou em diversos pontos os direitos do
titular.
Em decorrência disto, a grande questão está na
maneira com a qual esse titular de dados demandaria seus
direitos. Em tese, essa demanda poderia ocorrer via telefone,
contudo, a problemática está quando se analisa essa situação
em conjunto com o art. 43 da LGPD, isto é, a responsabilidade
do agente de tratamento é objetiva e, desta forma, há uma
inversão do ônus da prova. Ou seja, bastaria que uma pessoa
demandasse judicialmente a empresa, alegando que a mesma
não lhe respondeu sem sequer tê-la demandado. Logo,
indaga-se: como seria possível constituir provas caso o canal
com o titular fosse o telefone?
Posto isto, é importante que os agentes de
tratamento detenham uma plataforma centralizada para
processar todas as eventuais solicitações dos titulares, isto é,
um “canal do titular”.
Com este canal centralizado, torna-se possível a
documentação de todas as solicitações e respostas dos
titulares, o que é especialmente importante para fins de
constituição de provas. Não obstante, embora a utilização
deste “canal do titular” seja uma alternativa, as empresas
deverão se atentar principalmente com eventuais fraudes, que
possam ser realizadas para a obtenção de dados sigilosos dos
titulares.
A título de exemplificação, imagine-se uma situação
em que uma pessoa se passasse pelo verdadeiro titular
perante o agente de tratamento, resultando no risco deste
titular pleitear indenizações pela divulgação não autorizada
dos seus dados. A fim de evitar situações desta espécie e de
se resguardar contra eventuais condenações, recomenda-se
que as empresas criem instrumentos robustos de verificação
da identidade dos titulares como, por exemplo, a necessidade
de uma solicitação formal assinada, com reconhecimento de
firma em cartório ou assinatura com certificado digital, com a
devida apresentação de documentos de identificação.
Ainda, em se tratando de canal do titular, cumpre
realçar a sugestão proposta pela ANPD, ainda na Resolução
CD/ANPD nº 2/20225, conforme se pode notar:
Art. 8º Fica facultado aos agentes de tratamento de pequeno

porte, inclusive àqueles que realizem tratamento de alto risco,
organizarem-se por meio de entidades de representação da
atividade empresarial, por pessoas jurídicas ou por pessoas
naturais para fins de negociação, mediação e conciliação de
reclamações apresentadas por titulares de dados.
5
2022-376562019
Desta maneira, é possível que uma determinada
entidade possa oferecer este tipo de serviço, vislumbrando
uma redução de custos para as empresas, além, claro, de
poder oferecer um atendimento mais efetivo para os titulares
de dados, com todo um respaldo jurídico.
Nesta toada, cumpre destacar a importância desse
conhecimento jurídico, no momento que o titular realizar a sua
solicitação, haja vista que toda a resposta nesse atendimento
deverá ser muito bem fundamentada. Importante destacar, por
exemplo, que nem todas as solicitações do titular deverão ser
atendidas, todavia, a resposta deverá ser baseada nos
ditames preceituados pela LGPD.
35. O RIPD
O RIPD é a sigla para “Relatório de Impacto à

Proteção de Dados Pessoais”, sendo um documento que
contempla a descrição de todos os processos de tratamento
de dados pessoais que possam gerar riscos na operação,
conforme disposto no art. 5º, inciso XVII da LGPD.
Entretanto, a Lei não é patentemente clara sobre a

obrigatoriedade deste documento, vez que o art. 38 dispõe
apenas que a ANPD “poderá solicitar” este documento.
Embora a redação deste artigo leve alguns a

entender que o controlador deva elaborar o RIPD apenas
quando solicitado, é importante destacar que esta disposição
não faria sentido se confrontada com a definição contida no
inciso XVII do art. 5º da Lei.
Como se vê, em sua definição a Lei aduz que o

relatório deve ser elaborado quando existentes quaisquer
riscos às liberdades civis ou aos direitos fundamentais dos
titulares, direitos estes que incluem o próprio direito à
privacidade e à proteção de dados. Portanto, qualquer tipo de
risco à privacidade poderia ser encarado como sendo um
motivo determinante para a elaboração de um RIPD pelo
agente de tratamento.
Nessa toada, não seria possível encontrar alguma

situação em que não houvesse qualquer espécie de riscos, ou
seja, por mais que todas as medidas sejam tomadas, ainda
assim estar-se-ia exposto a algum risco o agente de
tratamento. O fato é que não existe qualquer método ou
medida de segurança adotada que seja à prova de falhas.
Como bem se observa, o art. 46 da LGPD dispõe

que os agentes de tratamento “devem” adotar medidas
técnicas e administrativa aptas a proteger os dados pessoais,
destacando-se a utilização do verbo “dever” pelo legislador,
em vez do verbo “poder”, impedindo assim que os agentes de
tratamento tomem condutas que possam gerar riscos aos
dados pessoais de um determinado titular.
Ressalte-se mais uma vez, que na definição da

própria Lei, o RIPD é o documento que contempla a descrição
de todos os processos de tratamento de dados pessoais que
possam gerar riscos na operação. Logo, até mesmo por uma
questão de segurança a interpretação de que todas as
empresas estejam obrigadas a gerar um RIPD é a mais
adequada.
Para corroborar com este argumento, basta analisar
a redação do §3º do art. 10 que aduz que a ANPD poderá
solicitar o relatório de impacto das empresas, quando estas se
valerem do interesse legítimo como hipótese de tratamento,
levando o intérprete a entender que essa seria uma situação
extra e que em todas as demais circunstâncias haveria a
necessidade do documento.
Outro ponto de destaque, desta vez está na

Resolução CD/ANPD nº 2”, publicada em 27 de janeiro de
20226, que tratou de realizar algumas dispensas para as
micros e pequenas empresas. Notem que não houve qualquer
menção a qualquer espécie de dispensa do RIPD, inclusive às
MPEs.
Ademais, cabe ressaltar que este documento

poderá, inclusive, auxiliar algumas empresas a tomar crédito
no mercado, considerando que este relatório permitirá a
análise de vulnerabilidades e riscos inerentes às suas
operações.
A título de exemplificação, em um passado um

pouco recente, uma empresa da cidade de São Paulo estava
6
2022-376562019
levantando um aporte, em um fundo de investimentos da
Europa. A empresa por sua vez já possuía um valuation
(avaliação de mercado) de 45 milhões de dólares. O fundo de
investimento, para se garantir mais, solicitou que lhes
enviassem o RIPD. Como a adequação à LGPD havia sido
realizada parcialmente, o fundo solicitou que a empresa fosse
submetida a uma auditoria especializada. Para sua surpresa,
houve uma redução no seu valor, que regrediu de 45 para 37
milhões de dólares.
Em suma, como já explanado, o RIPD além de ser

uma necessidade em decorrência da exigência da Lei, a sua
utilização no mercado financeiro, para tomadas de créditos,
deverá ser uma tendência.
36. COMO PROVAR INOCÊNCIA
Em geral, a responsabilidade dos agentes de

tratamento, perante os titulares, será objetiva, ou seja, caberá
a empresa comprovar a sua inocência. Contudo, não há muito
que se falar sobre ausência de culpa, caso a empresa nada
tenha feito, sobretudo do ponto de vista de adequação à
LGPD.
Deste modo, o art. 43 dispõe que o agente de

tratamento não será responsabilizado quando comprovar que
não teria realizado o tratamento, que não teria havido violação
da legislação ou que teria havido culpa exclusiva da titular ou
de terceiro. Estas exceções presentes neste artigo são quase
idênticas ao disposto no art. 12, §3º Código de Defesa do
Consumidor, bastando, em outras palavras, que o titular
aponte que aquele agente teria sido o responsável pelo dano
causado pelo incidente de segurança.
Ressalte-se que a intenção do legislador não era de

inibir todo e qualquer tipo de risco, mas sim a mitigação e
eventual neutralização destes riscos, valendo neste momento
ressaltar a seguinte analogia: se um determinado indivíduo
muda a fechadura da sua casa, contrata segurança armada e
coloca cerca elétrica, e mesmo assim tem sua residência
invadida e assaltada por um delinquente, o resultado será o
mesmo de uma casa sem segurança alguma, mas os riscos
terão sido mitigados de forma exponencial.
Neste sentido, para a LGPD isso não seria muito

diferente. Se a empresa adotou todas as medidas de
segurança adequadas, isso não lhe garantirá que não sofrerá
as consequências de um incidente de segurança qualquer,
todavia, a chance de ser condenada será menor e caso a
exista, esta por sua vez será um tanto mais branda.
37. IMPACTO DA LGPD NAS RELAÇÕES
TRABALHISTAS
Se em um contexto anterior à pandemia, a LGPD já

trazia um impacto significativo nas relações de trabalho, o
atual cenário de transformação digital acelerada aumenta este
impacto de forma exponencial, tendo em vista que 65% dos
incidentes de segurança estão relacionados direta ou
indiretamente aos colaboradores das empresas.
Isto porque o trabalho em regime de home office

obrigou as empresas a se reestruturarem de maneira abrupta,
com a aplicação de medidas de segurança não somente
dentro dos seus estabelecimentos, mas também em outros
pontos de acesso, como as residências dos colaboradores.
Desta forma, as empresas devem se atentar em

manter controles relacionados à segurança da informação nos
dispositivos utilizados por seus colaboradores em regime
remoto de trabalho, visando impedir que os equipamentos
utilizados por eles sejam alvo de ataques ou quaisquer outros
incidentes de segurança.
Essas medidas que podem ser tomadas no trabalho

em home office envolvem:
1) a conscientização dos trabalhadores através de
treinamentos;
2) o estabelecimento de um bom código de
conduta;
3) a implementação de políticas e a assinatura de
termos contratuais.
Outro ponto muito importante é que os gestores

devem se atentar para não incorrerem em riscos trabalhistas
com a nova legislação, principalmente com os colaboradores
em regime de pessoa jurídica que estiverem trabalhando de
forma remota, para que não seja caracterizado vínculo de
emprego em uma eventual ação trabalhista.
Embora se tenha que ressaltar os aspectos que

relacionam a LGPD ao home office, é certo que a nova
legislação impacta todo o ciclo de vida do contrato de trabalho,
desde a realização do processo seletivo, em que é preciso
tratar os dados pessoais dos candidatos, até a utilização de
dados biométricos pra controle de acesso quando da
admissão do empregado e a posterior retenção de seus dados
após o fim da relação de trabalho, que pode ser necessário
para o exercício de defesa da empresa em eventuais
processos trabalhistas.
Outrossim, cumpre destacar que, tão logo esse
colaborador aja de acordo com os seus próprios interesses, no
tratamento de dados, será considerado controlador de forma
imediata, devendo arcar e assumir todas as
responsabilidades, como se controlador o fosse.
Nesse diapasão, aconselha-se que uma vez

identificadas situações como esta acima, a empresa demita o
colaborador por justa causa, sob pena de ser considerada
conivente com o incidente. Embora a Justiça do Trabalho
proteja os trabalhadores e não revele os nomes das partes de
forma pública em processos trabalhistas, com o advento da
LGPD os trabalhadores deverão se atentar em buscas por seu
nome em eventuais ações cíveis decorrentes de quebras de
sigilo e outras questões atinentes à proteção de dados.
Embora já abordado em outros pontos desta obra, a

título de curiosidade, em um caso recente, um empregado foi
demitido por justa causa, por ter enviado informações internas
de um dos clientes da empresa para seu e-mail pessoal. Neste
e-mail estavam envolvidos números de CNPJ, de CPF,
números de cartões, dentre outras informações.

de Dados tanto em primeira quanto em segunda instância.
Enfim, é certo que a LGPD produzirá alguns

impactos negativos e diversos nas relações trabalhistas,
sobretudo, importante ressaltar que para empresas que
buscam estar em conformidade com as legislações, de
maneira geral, esta Lei tem muito mais a ajudar do que a
burocratizar os processos internos das organizações.
38. IMPACTO DA LGPD NAS VENDAS
Além das obrigações que todo agente de tratamento

deve cumprir para que, de fato, esteja em compliance com a
LGPD, deve-se destacar que a área comercial das empresas
vem sendo um dos setores mais afetados pela legislação.
É notório que o caminho para a efetivação de uma

venda é um tanto extenso e envolve o tratamento intenso de
dados pessoais, principalmente na criação de um perfil de
consumo e de estratégias para atingir este determinado
consumidor.
Portanto, deve-se fazer especial atenção ao capítulo

II da Lei, que dispõe sobre todas as hipóteses de tratamento
destes dados.
Logo, em uma operação de vendas, é possível

depreender ao menos cinco hipóteses de tratamento de dados
pessoais, quais sejam:
a) o inciso I, que dispõe sobre o consentimento;
b) o inciso II, que se fundamenta no cumprimento de

uma obrigação legal;
c) o inciso V, que contempla contratos e
procedimentos preliminares – como é o caso do
tratamento de dados para o envio de uma proposta;
d) o inciso VI, que poderá ser utilizado para uma

eventual constituição de provas e;
e) o inciso IX que possibilita o tratamento de dados

com base no legítimo interesse.
Ressalta-se, ainda, que é razoável uma empresa se

valer, paralelamente, de mais de uma hipótese de tratamento
de dados para um determinado titular, sobretudo do ponto de
vista de vendas, como no seguinte exemplo:
Um indivíduo deseja adquirir um servidor mais

avançado e procura um fornecedor, que lhe oferece ótimas
opções com até sete anos de garantia. Já nesta primeira fase
em que há a procura pelo cliente, dá-se início ao tratamento
de seus dados pessoais com base no inciso V do art. 7º da
LGPD, vez que se trata de uma fase preliminar ao contrato.
Uma vez efetivada a compra, passa-se a utilizar

duas outras hipóteses de tratamento, de forma simultânea: a
primeira para o cumprimento de uma obrigação legal, tal como
a emissão de uma nota fiscal, que deverá ser armazenada por
mais cinco anos – fundamentando-se este tratamento no
inciso II do art. 7º; e a segunda hipótese para o cumprimento
da garantia contratual de sete anos, oferecida na venda do
equipamento – fundamentando-se este tratamento no inciso V
do art. 7º.
Agora, imagine-se a seguinte situação: faltando uma

semana para vencerem os sete anos de garantia, o fornecedor
é demandado extrajudicialmente pelo cliente, em função de
um problema nesse servidor. Entretanto, o fornecedor tem um
entendimento de que aquele determinado problema não
possui cobertura na garantia oferecida, iniciando-se diversas
negociações entre as partes.
Neste cenário hipotético, imagine-se que esta

discussão tenha durado mais 6 meses até um consenso entre
as partes. Certo é que, durante este período, o fornecedor,
como controlador, deverá ajustar a hipótese legal de
tratamento de dados pessoais com base no inciso VI do art. 7º
da LGPD.
Para dar mais um “tempero” para o caso, imagine

agora que no exemplo anterior a solução para o problema
tenha sido excelente para ambas as partes e tenha havido um
fortalecimento nessa relação comercial, identificando o
fornecedor que poderá oferecer novos produtos a este mesmo
cliente.
Neste caso específico, o controlador poderá manter

o tratamento de dados por mais tempo, o quanto for
necessário, com base no seu legítimo interesse, previsto no
inciso IX do art. 7º da LGPD.
Desta forma, pode-se perceber, uma vez mais, que

o objetivo do legislador não é de burocratizar, mas sim
regulamentar, permitindo o tratamento seguro dos dados
pessoais.
Outrossim, o setor de vendas ainda possui outra

situação importante, que deve ser contemplada e abordada
aqui, qual seja: uma determinada empresa pode possuir
diversos canais de vendas, dependendo da maneira com que
os seus clientes são prospectados, existindo riscos
significativos se não for analisado cada processo de vendas
de forma cuidadosa.
Nesta toada, no escopo aqui proposto, passa-se a

analisar dois tipos de estratégias de marketing, conhecidos
como inbound e outbound.
No inbound marketing a empresa desenvolve um
conjunto de estratégias para atrair o seu cliente. Por exemplo:
é notório que pessoas que estão visitando a rua Santa
Efigênia, na cidade de São Paulo, estejam interessadas em
produtos eletrônicos. Com isso há o posicionamento
estratégico para que a empresa seja “vista”, criando-se
estratégias para atrair estes pedestres e potenciais clientes, a
fim de prospectá-los e oferecer produtos eletrônicos.
Em outras palavras, no inbound marketing, há o

posicionamento de maneira correta e coerente, atraindo a
clientela esperada.
Diferentemente, no outbound marketing a empresa

busca ativamente o cliente, estabelecendo contato direto com
este e oferecendo seus serviços. Ou seja, no inbound há o
posicionamento da empresa em um local específico para ser
“vista” por potenciais clientes, enquanto no outbound atua-se
com base em leads, buscando ativamente o cliente, o que por
vezes pode tornar-se um tanto invasivo.
Note-se que no inbound, enquanto não se é

procurado pelo cliente, não há que se falar em dados pessoais,
não havendo abrangência da LGPD. No entanto, no momento
em que há a procura por parte do cliente, segue-se o exemplo
utilizado para a aquisição do servidor.
Contudo, quando se fala de outbound marketing,

deve-se ter muita atenção sobre a procedência dos leads
angariados pela estratégia de marketing.
É sempre bom estar atento, vez que existe um

mercado paralelo de bases de dados, muito forte, e atuando
de maneira totalmente clandestina, o que afronta diretamente
a LGPD. Desta maneira, quando forem se valer das bases de
dados provenientes desses data brokers, deverá o agente de
tratamento analisar minunciosamente a idoneidade destas
empresas.
39. IMPACTO DA LGPD NOS CONDOMÍNIOS
Diariamente, os condomínios têm contato com um

volume enorme de informações pessoais, sejam elas de
condôminos, de funcionários e de terceiros que precisem e
necessitem de acesso ao interior do empreendimento. Como
consequência, é notório que os condomínios têm se tornado o
centro de valiosas bases de dados, as quais, por negligência,
se encontram em sua maioria desprotegidas, por contarem
com medidas de segurança ineficazes ou até mesmo
inexistirem.
Conforme é sabido, houve reconhecimento da

proteção de dados pessoais dos cidadãos enquanto dimensão
do princípio da dignidade da pessoa humana, que fundamenta
a existência do próprio estado democrático de direito. Agora, a
proteção de dados se incorpora à Constituição Federal como
uma cláusula pétrea, ou seja, não pode ser suprimida por uma
alteração constitucional posterior.
Neste diapasão, este direito fundamental possui

impactos diretos aos condomínios. É o caso de trazer à tona
algo corriqueiro, que diz respeito à coleta de dados pessoais
de funcionários para realizar qualquer espécie de segregação,
como exemplo a utilização de elevadores ou outras áreas no
condomínio. Tal prática poderá ser considerada abusiva,
levando-se em consideração que toda pessoa tem o direito à
autodeterminação informativa, ou seja, o direito de controlar
quem e como as pessoas terão acesso às suas informações
pessoais.
De fato, a LGPD veda qualquer discriminação ilícita

baseada em dados pessoais, conforme disposto no princípio
da não-discriminação, no art. 6º, IX, e, também, no art. 11, §1º,
que equipara a dados sensíveis quaisquer informações que
possam revelar informações sensíveis sobre o titular e que lhe
causem algum tipo dano.
Entretanto, se fizer sentido solicitar esses dados por

uma necessidade de fazer a liberação da pessoa a alguns
lugares ou horários específicos, logo será possível que seja
coletada essa informação, tendo em vista ser uma espécie de
discriminação necessária, para a manutenção da segurança
do empreendimento, relacionando-se aos princípios da
necessidade, da prevenção e da prestação de contas.
Essa necessidade de identificação ou

cadastramento de indivíduos para acesso às dependências do
condomínio se submete às disposições da LGPD, havendo
inclusive a possibilidade de a responsabilidade recair sobre o
síndico no caso de eventuais vazamentos de dados pessoais
do condomínio, em uma eventual ação de regresso proposta
contra ele.
Embora seja comum a contratação de uma

administradora para auxiliar nas rotinas diárias dos
condomínios, é importante destacar que a responsabilidade
primária é do próprio condomínio. Ainda que este possa
ingressar com uma ação de regresso contra a administradora,
enquanto isso não ocorrer, quem pagará a conta serão os
próprios condôminos através do caixa do condomínio.
De qualquer forma, deve ser analisado o contrato

com a administradora de condomínio, que pode abarcar algum
tipo de responsabilização em conjunto, haja vista a relação de
consumo caracterizada entre as organizações e a
hipossuficiência técnica por parte do síndico, que em algumas
situações é pessoa leiga e não-especializada.
Deve-se pensar ainda nos casos em que as

administradoras se utilizem dos dados provenientes dos
condomínios para finalidades diversas, como a transferência
da base de dados para uma imobiliária parceira, por exemplo.
Portanto, é importantíssima a criação de uma sistemática de
due diligence e prestação de contas do condomínio em
conjunto com a administradora, incluindo os fornecedores e
parceiros com os quais esta realiza a transferência de dados
pessoais.
Todavia, ainda que exista esta possibilidade de

responsabilizar a administradora, ainda assim a
responsabilidade final será do síndico, nos termos dos incisos
II e V do art. 1.348 do Código Civil, vez que cabe a ele
“representar, ativa e passivamente, o condomínio, praticando,
em juízo ou fora dele, os atos necessários à defesa dos
interesses comuns” e “a diligenciar a conservação e a guarda
das partes comuns e zelar pela prestação dos serviços que
interessem aos possuidores”.
Desta forma, a sua omissão em tomar as medidas

de proteção dos dados pessoais enquanto responsável pelo
condomínio poderá ensejar em danos de ordem moral e
material aos titulares de dados, sejam eles os próprios
condôminos, funcionários ou visitantes, que poderão pleitear
judicialmente os respectivos reparos.
Isto é ainda mais importante quando informações

sensíveis possam ensejar casos de assédio e de perseguição,
que por sinal, este último é um crime recentemente adicionado
ao Código Penal, contemplado no seu art. 147-A, estando
intimamente relacionado à perturbação da privacidade de
alguém, majorando-se a pena se esta perseguição é cometida
contra criança, adolescente ou idoso.
Neste sentido, pode-se pensar em uma situação em

que há a revelação de informações sobre a rotina de um
condômino por parte de algum funcionário do condomínio, o
qual assumirá a posição de “controlador” e poderá responder
inclusive criminalmente por estes atos. Este vazamento de
informações também poderá atingir a esfera patrimonial do
condomínio e do síndico, que poderá responder por ato
culposo, se comprovada a sua negligência perante as
obrigações impostas pela LGPD e pelo Código Civil.
O fato é que, com a chegada da LGPD, os

condomínios deverão sofrer algumas mudanças e ajustar
diversos procedimentos internos. Contudo, deixar esta
situação tão somente no “colo” do síndico parece não ser a
melhor alternativa. Deste modo, para evitar alguns dissabores,
o melhor que se tem é passar alguns destes itens, sobretudo
do ponto de vista de eventuais mudanças de procedimentos,
em assembleias condominiais. São eles:
• Discutir sobre a possibilidade de pessoas
eventualmente se recusarem a fornecer alguns
dados pessoais para ingresso nas dependências do
condomínio – o que pode acontecer
com celebridades, por exemplo. Uma solução é
permitir a entrada deste visitante, no carro, com
algum condômino, por exemplo.
• Definir se a utilização de dados biométricos será

obrigatória a todos os condôminos, em respeito ao
princípio da necessidade dos dados pessoais e da
existência de outros meios de identificação. Uma
solução é ter uma alternativa diferente de dados
biométricos para aqueles que se recusarem a
fornecer alguns destes dados.
• Discutir as hipóteses de fornecimento das imagens

das câmeras de segurança do CFTV aos
condôminos. Embora este fornecimento seja um
direito seu como titular de dados pessoais, conforme
disposto no art. 19 da LGPD, deve-se discutir se a
entrega das imagens se dará em qualquer
solicitação ou apenas sob ordem judicial,
considerando que as imagens da câmera de
segurança podem revelar dados pessoais de
terceiros. De fato, a ausência ou presença de
alguém, em determinado lugar, pode ser
considerado como um dado pessoal identificável.
• Discutir qual será o período de retenção das

imagens no CFTV. Uma boa prática é a manutenção
por 30 dias, tendo em vista que as imagens poderão
ser solicitadas pelas autoridades, em investigações
criminais. Todavia, existirão situações que o
condomínio será obrigado a manter as imagens por
mais tempo, como, por exemplo, seria o caso de
maus tratos a crianças e animais, a ocorrência de
assédio, dentre outras.
• Definir se as próprias assembleias virtuais e

presenciais serão gravadas.
• Discutir se as hipóteses em que os dados que

acarretem o constrangimento de um titular poderão
ser dispostos em local público, como listas de
devedores, por exemplo. Deve-se discutir
especialmente os cuidados com dados que possam
identificar e constranger crianças, as quais podem
ser atingidas indiretamente por essas listagens
públicas (art. 5º, I da LGPD).
Além destas discussões, diante do tratamento

especial de dados de crianças previsto no art. 14 da LGPD,
deve-se decidir como serão coletados tais dados (que
obrigatoriamente deverá estar acompanhado da assinatura do
responsável, destacando as ressalvas do próprio artigo em
questão). Da mesma forma, deve-se definir o procedimento
quando a criança for visitante, sendo necessário discutir como
será e se dará esse acesso.
Esta discussão deve incluir o caso de crianças que

estiverem desacompanhadas em festas de aniversário,
quando o salão de festas não tiver uma entrada externa, ou
seja, se será exigido dos pais o consentimento ou se entrarão
todas as crianças desacompanhadas (porém sem o
tratamento de dados).
Ainda, quanto a esta discussão sobre dados de

crianças, outra interpretação e consequentemente, solução
para essa problemática poderia estar no art. 14, §3º, quando
se fala da proteção à criança. Se de um lado o legislador foi
omisso, de outro indaga-se a possibilidade de associar
algumas situações de tratamento de dados das crianças com
base na sua própria proteção, o que seria muito conveniente
nos casos de tratamento de dados de crianças nos
condomínios edilícios, havendo duas situações:
(i) para acesso da criança ao condomínio, quando

desacompanhada: neste caso, poderia ser utilizada
este §3º? Não, não seria possível, vez que quando
qualquer pessoa deseja acessar um condomínio, a
finalidade proposta do tratamento é a proteção e
segurança interna no empreendimento e não de
quem demanda pelo acesso.
(ii) quando a criança residir ou se encontrar nas
dependências do condomínio: neste caso seria
possível se valer desta hipótese de tratamento, com
fundamento na proteção da criança.
Conforme já abordado acima, como sugestão de um

tema de assembleia, há aquela questão delicada relacionada
à divulgação de listas de devedores. Como se sabe, há duas
correntes de pensamento sobre essa situação, quais sejam:
i) aqueles que entendem que seja possível essa

divulgação, tendo em vista a necessidade de
prestação de contas. Desta maneira, se
fundamentam na ideia de que sejam “sócios” e
assim seria possível que conhecessem os
problemas do outro condômino.
ii) os que entendem que não devem ser divulgadas
em locais públicos a lista desses devedores.
E como resolver essa situação? É possível que haja

duas correntes quando se fala em proteção de dados? Não,
não é possível e tampouco há espaço para a primeira corrente.
Para compreender a razão com a qual não seria

possível a aplicação da primeira corrente, é importante
algumas análises e indagações preliminares, quais sejam:
Qual o objetivo da divulgação dessa relação de devedores? A
prestação de contas? Qual é a via para se prestar contas?
Expondo as pessoas – no caso os condôminos – ao
constrangimento?
É Claro que não é essa a via adequada para a

prestação de contas, portanto, não é possível e permitido que
haja essa espécie de tratamento de dados. Ressalta-se que a
divulgação de uma lista já configura o tratamento de dados, de
acordo com o art. 5º, X.
Ainda, não se pode esquecer de que a exposição
destas listagens feriria ao menos dois princípios da LGPD,
dispostos em seu art. 6º, quais sejam:
VIII - prevenção: adoção de medidas para prevenir a

ocorrência de danos em virtude do tratamento de dados
pessoais;
IX - não discriminação: impossibilidade de realização do

tratamento para fins discriminatórios ilícitos ou abusivos;
Ademais, ainda que fosse possível seguir com essa

corrente, logo seria um tanto simples, através do número da
unidade ou até mesmo o nome dos pais, identificar as
crianças, permitindo colocá-las em exposição ao
constrangimento.
Outro ponto relevante e que tem despertado um

olhar especial, aos agentes de tratamento condominiais, diz
respeito à obrigação de definição de um encarregado de
dados. Em um primeiro olhar, houve quem acreditasse na
dispensa dessa obrigatoriedade, entretanto, talvez essa
interpretação tenha sido fruto de uma falta de atenção à Res.
CD/ANPD nº 2/20227, como um todo, em especial aos arts. 3º,
I e 4º.
É importante destacar que as operações de

tratamento de dados realizadas nos condomínios são
consideradas de alto risco aos titulares. Este tratamento de
alto risco pelos condomínios pode ser caracterizado pelo
encaixe em dois critérios estabelecidos na referida Resolução,
conforme o seu art. 4º:
Art. 4º Para fins deste regulamento, e sem prejuízo do disposto

no art. 16, será considerado de alto risco o tratamento de
dados pessoais que atender cumulativamente a pelo menos
um critério geral e um critério específico, dentre os a seguir
indicados:
I - critérios gerais:
[...]
b) tratamento de dados pessoais que possa afetar

significativamente interesses e direitos fundamentais dos
titulares;
II - critérios específicos:
7
2022-376562019
[...]
b) vigilância ou controle de zonas acessíveis ao público;
[...]
d) utilização de dados pessoais sensíveis ou de dados

pessoais de crianças, de adolescentes e de idosos.
[...]
§ 2º O tratamento de dados pessoais que possa afetar

significativamente interesses e direitos fundamentais será
caracterizado, dentre outras situações, naquelas em que a
atividade de tratamento puder impedir o exercício de direitos
ou a utilização de um serviço, assim como ocasionar danos
materiais ou morais aos titulares, tais como discriminação,
violação à integridade física, ao direito à imagem e à
reputação, fraudes financeiras ou roubo de identidade.
Desta maneira, analisadas as disposições desta

resolução, resta clara a necessidade da figura do encarregado
de dados pessoais (DPO).
Outro ponto de tamanha relevância para os
condomínios diz respeito ao canal do titular. É importante
destacar que a Lei não valeu deste termo, todavia, contemplou
em diversos pontos os direitos do titular.
Em decorrência disto, a grande questão está na
maneira com a qual esse titular de dados demandaria seus
direitos. Em tese, essa demanda poderia ocorrer via telefone,
contudo, a problemática está quando se analisa essa situação
em conjunto com o art. 43 da LGPD, isto é, a responsabilidade
do agente de tratamento é objetiva e, desta forma, há uma
inversão do ônus da prova. Ou seja, bastará que um indivíduo
demande judicialmente o condomínio, alegando que o mesmo
não lhe respondeu, sem sequer tê-lo demandado. Logo,
indaga-se: como será possível constituir provas caso o canal
com o titular seja o telefone?
Dito isto, é importante que os condomínios
detenham uma plataforma centralizada para processar todas
as eventuais solicitações dos condôminos, sobretudo do ponto
de vista do que diz respeito a seus dados pessoais, isto é, o
chamado “canal do titular”.
Com este canal centralizado, torna-se possível a
documentação de todas as solicitações e respostas dos
condôminos e demais titulares, o que é especialmente
importante para fins de constituição de provas.
Não obstante, embora a utilização deste “canal do
titular” seja uma alternativa, os condomínios devem se atentar
principalmente com eventuais fraudes, que possam ser
realizadas para a obtenção de dados sigilosos dos titulares.
A título de exemplificação, imagine-se uma situação
em que um condômino se passe pelo verdadeiro titular perante
o condomínio, resultando no risco deste titular pleitear
indenizações pela divulgação não autorizada dos seus dados.
A fim de evitar situações desta espécie e de se
resguardar contra eventuais condenações, recomenda-se que
os condomínios e, de quebra, as administradoras, criem
instrumentos robustos de verificação da identidade dos
titulares como, por exemplo, a necessidade de uma solicitação
formal assinada, com reconhecimento de firma em cartório ou
assinatura com certificado digital, com a devida apresentação
de documentos de identificação.
Ainda, em se tratando de canal do titular, cumpre
realçar a sugestão proposta pela ANPD, ainda na Resolução
CD/ANPD nº 2/20228, conforme se pode notar:
Art. 8º Fica facultado aos agentes de tratamento de pequeno

porte, inclusive àqueles que realizem tratamento de alto risco,
organizarem-se por meio de entidades de representação da
atividade empresarial, por pessoas jurídicas ou por pessoas
8
2022-376562019
naturais para fins de negociação, mediação e conciliação de
reclamações apresentadas por titulares de dados.
Desta maneira, é possível que uma administradora

condominial possa oferecer este tipo de serviço, vislumbrando
uma redução de custos para os condomínios, além, claro, de
poder oferecer um atendimento mais efetivo para os titulares
de dados, com todo um respaldo jurídico.
Nesta toada, cumpre destacar a importância desse
conhecimento jurídico, no momento em que o titular realizar a
sua solicitação, haja vista que toda a resposta nesse
atendimento deverá ser muito bem fundamentada. Importante
destacar, por exemplo, que nem todas as solicitações do titular
deverão ser atendidas, todavia, a resposta deverá ser baseada
nos ditames preceituados pela LGPD.
Assim, após discorrer sobre os pontos de atenção
na aplicação da Lei Geral de Proteção de Dados Pessoais aos
condomínios, faz-se necessário apresentar alguns casos que
têm ocorrido nos condomínios, a saber:
i) Relação íntima no elevador do prédio residencial
Um garoto é flagrado nas câmeras de segurança do

elevador do prédio, cometendo atos sexuais com uma
adolescente. Prudentemente o síndico convoca o conselho
para entender que medida tomar a respeito deste incidente e,
unanimemente, entendem que o melhor a fazer é convocar o
pai da garota e expor o caso a ele.
Uma vez reunidos com esse senhor, este, por ser
delegado da Polícia Federal, se acha no direito de pressionar
o condomínio por terem visto sua filha nessas condições.
Do ponto de vista de LGPD, o erro do condomínio
se deu por não informar que o ambiente estava sendo filmado,
e poderia ser inclusive responsabilizado nos termos desta Lei.
Note que a realização de qualquer tratamento de
dados, para uma determinada finalidade, deverá ser informado
ao titular de dados.
A título de curiosidade, corroborando com o que
preceitua a LGPD, há uma lei municipal na cidade de São
Paulo (Lei 13.541/2003) que determina o uso de placas
informativas em ambientes filmados.
ii) Grupo de WhatsApp em condomínio residencial
Um indivíduo, chamado “João”, comprou um carro

através de um leilão, com o intuito de presentear sua esposa.
Entretanto, João não revelou a origem do carro, que
consideraria degradante a ela.
Com o intuito de contratar uma apólice de seguro

para o veículo, este se dirige à corretora de seguros “Angra
dos Reis”, local em que é atendido por “Maria”, lhe informando
alguns de seus dados pessoais para a contratação do seguro,
incluindo o seu endereço.
De posse destas informações, Maria identifica que

João reside em seu condomínio, ou seja, no condomínio
“Campos Verdes”, e ao chegar a sua casa, revela a “José”, seu
marido, a informação de que o vizinho teria comprado carro de
leilão.
Dias depois, por um determinado motivo, ocorreu

uma discussão acalorada entre João e José, em um grupo de
WhatsApp do condomínio, na qual José, com o intuito de
humilhá-lo publicamente, afirma que ao menos não havia
comprado carro de leilão para sua esposa.
Assim, a esposa de João toma ciência da

procedência do veículo que recebera de presente, o que
resultou em diversos atritos entre ela e João, seu esposo.
A partir do caso narrado acima, podem ser

verificados diversos pontos de infração à LGPD, a seguir
mencionados:
a. A divulgação das informações pessoais sobre a
origem dos bens de João constitui um incidente de
segurança da informação, que teria o condão de
causar inúmeros prejuízos reputacionais e
econômicos à corretora de seguros, além de
processos civis por parte do titular, no caso, João,
sem prejuízo de eventuais sanções pela ANPD.
b. Maria, por sua vez, poderia ser condenada a

indenizar a corretora através de uma ação de
regresso, com fulcro no art. 932, inciso III do Código
Civil e também com previsão no art. 42, §4º da
LGPD.
c. Maria também poderia ser processada

criminalmente e denunciada no crime de violação de
sigilo profissional, previsto no art. 154 do Código
Penal. Seu marido, José, poderia ser processado
pelo crime de injúria, constante do art. 140 do
Código Penal.
d. Por fim, o condomínio não poderia ter criado um

grupo de WhatsApp em formato aberto, pelo seu
potencial de gerar discussões desnecessárias entre
os condôminos e por expor indevidamente alguns de
seus dados pessoais, como os seus nomes e
números de telefone. O ideal seria, pois, a criação
de uma lista de transmissão direta para a
comunicação da administração com os condôminos.
iii) Imagem de homem com a amante em condomínio
Neste caso, será analisada uma situação que

também envolve uma divulgação não-autorizada de dados
pessoais, no âmbito de condomínios residenciais.
Um indivíduo, chamado “Guilherme”, chega de carro

com a amante ao condomínio residencial “Vivendas da Prata”,
local onde ela residia. Um dos porteiros do condomínio,
chamado “Manoel”, reconhece Guilherme através do sistema
de câmeras, vez que eram da mesma igreja e sabia, inclusive,
que ele era casado com outra pessoa.
Então, Manoel fotografou o monitor do sistema de

câmeras do condomínio, no momento exato em que Guilherme
estava beijando sua amante. Horas depois, esta fotografia
chega até a esposa de Guilherme, o que posteriormente
resulta em um divórcio.
O caso narrado acima demonstra a importância que
políticas de segurança da informação, bem aplicadas, têm
para os condomínios.
Isto porque, embora tivesse o condomínio instalado

diversas câmeras de vigilância, com o fim de combater
ameaças externas, não se atentou em utilizar o mesmo
sistema para coibir a ocorrência de ameaças internas, ou seja,
não instalou câmeras também na portaria, que poderiam se
mostrar cruciais para ao menos coibir condutas como a do
porteiro do caso narrado.
Ainda, em uma eventual ação judicial movida por

Guilherme contra o referido condomínio, este poderia provar a
culpa de Manoel, o que certamente o faria através de ação de
regresso, prevista no art. 42, §4o da LGPD. No entanto, sem
as provas contra o porteiro, obtidas pelo sistema de vigilância,
esta ação de regresso restaria prejudicada.
40. IMPACTO DA LGPD NOS ESCRITÓRIOS DE
CONTABILIDADE
O setor contábil está também no rol dos mais

impactados pela LGPD. Não bastasse esta situação, o
problema é que a grande maioria dos escritórios de
contabilidade sequer iniciou qualquer procedimento de
adequação à Legislação, existindo inclusive contadores que
afirmam nem saber da existência da Lei.
Se a tendência anterior, de digitalização dos

serviços contábeis, levou uma gama de escritórios à falência,
a LGPD inaugura uma nova tendência, baseada em segurança
da informação e proteção de dados, que pode atingir em cheio
aqueles que não fizerem atenção ao que esta legislação
propõe.
A grande verdade é que os escritórios contábeis

processam de forma cotidiana informações muito valiosas das
empresas, e deveriam, ao menos em tese, ter sido os
primeiros a se informarem sobre o tema. Fato é que a LGPD
traz uma oportunidade para os escritórios de contabilidade
alavancarem a sua estratégia de transformação digital e de se
posicionarem de forma diferente no mercado.
Embora a responsabilidade pelos dados pessoais
seja do controlador, ou seja, do cliente do escritório de
contabilidade, trazer e discutir temas complexos relacionados
à confidencialidade e proteção de dados, como é o caso da
LGPD, pode se tornar um diferencial que ajudará a destacar o
escritório com um mindset disruptivo.
Entretanto, não basta apenas trazer o tema à tona e

não tomar medidas efetivas para estar em conformidade com
a legislação, situação muito parecida com o que se nota no
governo, especialmente na esfera municipal.
Neste sentido, os escritórios de contabilidade devem

ficar cada vez mais atentos com as ameaças emergentes no
âmbito da segurança da informação, como é o caso de
ataques de ransomware, que se trata de um “sequestro de
informações” e que pode gerar prejuízos milionários aos
clientes das contabilidades.
Ressalte-se que, por se tratar de uma atividade fim,

em caso de algum incidente de segurança, basta que o cliente
aponte o escritório de contabilidade como o responsável pelo
incidente, ocasião em que este deverá demonstrar, em sua
defesa, que teria tomado todas as medidas possíveis para
estar em compliance com a Lei.
Portanto, estar em conformidade com a LGPD, além
de evitar desgastes e dissabores provocados pelas pesadas
sanções que a Lei prevê, possibilitará um ganho considerável
aos escritórios de contabilidade, sobretudo do ponto de vista
reputacional.
41. IMPACTO DA LGPD NO MERCADO
IMOBILIÁRIO
De início, insta trazer à tona que a primeira

condenação judicial envolvendo a LGPD, ainda em 2020, se
deu no setor imobiliário.
Decerto, pelo grande número de intermediários

envolvidos no tratamento de dados pessoais, como as
imobiliárias que possuem inúmeros corretores parceiros,
administradoras de condomínio, construtoras e os próprios
condomínios, este segmento poderá se tornar o foco dos
oportunistas.
A grande problemática é que, por terem mais

recursos, as construtoras poderão virar um alvo fácil e ser
responsabilizadas por vazamentos que ocorrerem dentro das
imobiliárias ou dos próprios condomínios.
Daí a importância de implementar medidas efetivas

para assegurar que os dados pessoais estão sendo mantidos
de forma segura, sendo possível, inclusive, prever um
movimento de internalização das vendas por parte das
construtoras, como parte dos procedimentos de mitigação de
riscos.
Aliás, dessa tendência, abre-se aqui um leque de
oportunidades para as imobiliárias, vez que aquelas que
demonstrarem estar em conformidade com a LGPD deverão
se destacar, podendo vir a angariar melhores oportunidades
de negócio, além de mitigar os riscos no que diz respeito à
própria LGPD.
Independentemente desta oportunidade trazida pela

Lei, fato é que as empresas, deste setor, deverão se atentar
mais aos seus processos de vendas, com a realização de
treinamentos recorrentes e ajuste de termos contratuais
específicos para garantir a confidencialidade e o tratamento
adequado e lícito dos dados pessoais.
Outro ponto bastante importante se dá com a prática

recorrente de “outbound marketing”, que se trata da utilização
de grandes bases de dados para “ir até o cliente”, seja por
telefone, e-mail ou WhatsApp. Ocorre que em muitas vezes
essas bases de dados são obtidas de forma ilícita, o que pode
acarretar inúmeros problemas aos agentes de tratamento.
Desta feita, a fim de mitigar estes riscos, deve-se

analisar com mais cautela as abordagens de marketing,
adotando contratos bem desenhados com os “data brokers”,
garantindo que essas bases de dados estejam adequadas à
LGPD e que correspondam às expectativas dos potenciais
consumidores.
42. IMPACTO DA LGPD NO SETOR LOGÍSTICO
Presente em diferentes atividades de empresas e

indústrias, a área logística tem acesso a diversas informações,
inclusive dados pessoais. Com o advento da LGPD, essas
operações necessitarão adequar seus processos para não
ferirem os princípios e diretrizes trazidas pela nova legislação.
Engana-se quem pensa que apenas o setor de

logística B2C (Business to Consumer) será afetado pela
LGPD. Aquelas empresas que atuam no B2B (Business to
Business), ou seja, que atendem às necessidades e
demandas de outras empresas, também serão afetadas, vez
que possuem em seu cotidiano operações que coletam,
processam e realizam tratamentos com dados pessoais.
São atividades como cadastro de clientes para

consumo de mercadorias e de motoristas para distribuição dos
produtos, emissão de notas fiscais, controle de acesso de
terceiros nas áreas internas da empresa, interação do usuário
em aplicativos de compra ou transporte, além dos processos
internos envolvendo dados de colaboradores.
Um plano de ação para essas empresas envolve
algumas tarefas mínimas para a adequação. O primeiro passo
é fazer o mapeamento do fluxo de dados pessoais, ou seja,
levantar todo ciclo do dado dentro da empresa, bem como o
momento de exclusão ou hipóteses de compartilhamento com
terceiros.
A partir deste mapeamento, a empresa reconhece

quais são suas responsabilidades, os eventuais erros, as
consequências e as possíveis ações que podem mitigar riscos
e evitar ou minimizar sanções. Essa etapa é considerada
importante, porém gera muitas dúvidas às empresas em
processo de adequação, pois não se conhece os detalhes de
realização dos fluxos operacionais e as áreas responsáveis
por cada passo.
Outra tarefa importante é entender qual o papel,

como agente de tratamento dos dados, o negócio exerce. O
cenário envolve diferentes aspectos, como:
i) se a empresa é controladora e é responsável por

todos os processos de tratamento dos dados,
possuindo áreas internas responsáveis pela
logística dos próprios processos ou não possui
setores logísticos e realiza a contratação de
terceiros (operadores) para a realização dos
serviços;
ii) ou, ainda, se a empresa é o terceiro fornecedor,

aquele quem "vende" os serviços de logística para
demais empresas.
Assim como as empresas tidas como controladoras,

as empresas operadoras devem ficar atentas à adequação do
ponto de coleta e ao compartilhamento de apenas dados
necessários para a finalidade da atividade, bem como adotar
mecanismos seguros para a transferência e compartilhamento
de informações.
Além disso, é importante a celebração ou revisão de

contratos, sempre se atentando às responsabilidades dos
terceiros, como: formas de armazenamento, possíveis prazos
e comunicação em casos de incidentes, entre outros, além das
isenções e responsabilidades da própria empresa, sendo
operadora ou controladora de dados.
Por fim, mas não menos importante, está a criação

e adoção de mecanismos seguros para o tratamento e
proteção dos dados pessoais. Mesmo implementando
medidas como revisão de contratos, transparência no
processamento, tratamento de apenas dados necessários
para atividade e treinamento de colaboradores para o
tratamento dos dados pessoais dos clientes, a adoção de
ferramentas com controles de segurança técnica e
administrativa é imprescindível para a mitigação dos possíveis
riscos e danos à empresa e aos titulares de dados.
Uma situação muito comum neste setor é

justamente os procedimentos de autenticação do recebedor de
qualquer tipo de encomenda, a fim de evitar a
responsabilidade da empresa de logística por eventuais
extravios. Nestes casos, não é aconselhável que a empresa
realize qualquer filmagem ou fotografia do recebedor, mas se
valha de outros meios seguros, como o envio de tokens por e-
mail ou celular, por exemplo.
43. IMPACTO DA LGPD NAS ESCOLAS
Assim como em outros segmentos, a LGPD vem

provocando mudanças significativas no setor escolar.
Entretanto, este setor vem sendo mais impactado do que
outros setores econômicos, vez que as instituições de ensino
lidam diariamente com um grande volume de informações
pessoais, seja dos alunos, seja dos pais, seja de seus
colaboradores.
Assim, mais do que apenas prover uma excelente

qualidade de ensino, essas instituições deverão se preocupar
em como proteger essas informações pessoais, que, se
caírem em mãos erradas poderão dar causa a danos
gravíssimos, principalmente com relação às crianças.
Se antes as escolas já sofriam do ponto de vista da

segurança física dos seus alunos, com a LGPD esse impacto
é ainda maior, vez que deverão implementar mecanismos
altamente eficazes para proverem a segurança e proteção de
todos esses dados pessoais.
No caso específico das crianças, a LGPD é bem

rígida quanto ao tratamento dos seus dados pessoais,
estabelecendo a obrigatoriedade do termo de consentimento
dos pais ou responsáveis, para que seja possível realizar esse
tratamento. Ou seja, não basta apenas a assinatura de um
contrato, como ocorre de praxe, sendo necessário que o
responsável assine um termo de consentimento específico,
nos termos do art. 14 da Lei.
Em algumas situações, é possível que as

instituições de ensino tratem os dados das crianças com base
no §3º do art. 14, em razão da proteção da própria criança,
todavia, não será possível a utilização desta hipótese para
todos os casos.
Outrossim, cumpre destacar alguns pontos de

extrema relevância no dia a dia das escolas, quais sejam:
i) Exposição de alunos através de listas em murais:

algo que é um tanto comum nas escolas tem sido a
divulgação dos melhores alunos, ou até mesmo a
divulgação das suas respectivas notas. Assim, faz-
se necessário, uma vez mais, ressaltar que, de
acordo com o art. 5º, I, dado pessoal é toda a
informação identificada ou identificável, isto é, se
para evitar a divulgação direta dos alunos que não
possuem boas notas a escola opta por divulgar as
notas dos melhores, logo é possível interpretar que
os demais são em tese os “piores”. Desta forma,
indiretamente a escola estaria expondo os alunos ao
constrangimento, infringindo diretamente a LGPD.
ii) Problemas de saúde e tratamento especial: trata-
se, também, de algo um tanto comum nas escolas e
se faz necessária a divulgação dessas informações
referentes à saúde da criança, justamente para lhe
dar um tratamento diferenciado, como seria o caso
de lhes conferir um tipo diferente de refeição das
demais crianças. Contudo, a questão aqui é o local
onde serão divulgadas essas informações, ou seja,
é muito comum a divulgação desses dados
sensíveis em murais, o que poderia expor tais dados
destas crianças a terceiros de forma desnecessária,
afrontando alguns dos princípios do art. 6º, como
exemplos os incisos III e IX.
iii) Fotos em redes sociais ou sites da escola: esta é
uma outra situação que ocorre com bastante
frequência no dia a dia das escolas. No geral, tem-
se que as escolas buscam postar e divulgar essas
fotos com o objetivo de criar uma maior motivação
aos alunos, entretanto, esta prática pode ser nociva,
sobretudo em se tratando de crianças, cujas
imagens podem ser consideradas dados sensíveis.
iv) Brigas e bullying: situações relacionadas a brigas
e/ou bullying nas dependências das escolas têm
sido algo corriqueiro no dia a dia dos alunos. Para
evitar e mitigar estas situações, as escolas têm
utilizado câmeras de segurança de circuito interno
(CFTV). O ponto de discussão aqui é que em tese
as escolas não poderiam utilizar essas imagens sem
o devido consentimento dos pais, entretanto, o art.
14, §3º da LGPD, prevê o tratamento de dados das
crianças para sua proteção, sem o consentimento
dos pais ou responsáveis. Desta maneira, as
escolas poderão se valer dessa possibilidade para
armazenar as imagens das crianças, contudo, não
poderão utilizar tais vídeos para outras finalidades.
v) Retirada de crianças na escola: esta situação
tem mais relação com as medidas de seguranças
adotadas pelas escolas para a liberação de criança
que não forem retiradas pelos pais. Desta forma,
esta situação causa bastante preocupação, vez que
muitas escolas liberam crianças a terceiros com a
autorização realizada por telefone ou outros meios
não seguros. O que se espera é que essas
instituições de ensinos busquem alternativas
seguras para evitar problemas graves como o
sequestro de crianças, por exemplo, por falhas nas
medidas de segurança.
44. IMPACTO DA LGPD NO SETOR DA SAÚDE
A LGPD prevê algumas disposições específicas ao

setor da saúde, tendo em vista que os dados sobre a saúde de
uma pessoa estão entre os mais sensíveis e privados que se
possa imaginar.
Assim, além de estabelecer um programa de

adequação com a LGPD, hospitais, consultórios médicos,
laboratórios e administradora de planos de saúde também
deverão se atentar com as normas federais específicas do
Ministério da Saúde, da ANS (Agência Nacional de Saúde
Suplementar) e do CFM (Conselho Federal de Medicina) no
tratamento dos dados dos pacientes para se considerar em
conformidade com a Lei.
É importante que os agentes do setor de saúde

vejam a LGPD como uma oportunidade de crescimento e de
reinvenção, e não apenas como uma regulação adicional e
burocrática, especialmente por se tratar de uma crescente na
telemedicina.
45. IMPACTO DA LGPD NAS CORRETORAS DE
SEGURO
O setor de seguros tem como uma de suas funções

lidar diretamente com a análise de riscos baseada em dados
pessoais dos mais diversos tipos, desde aqueles mais simples,
relacionados com o nome ou a residência da pessoa, até
aqueles mais sensíveis, relacionados ao seu estilo de vida,
sua saúde, seu histórico de crédito ou até mesmo a quantidade
de vezes que a pessoa já se envolveu em acidente de trânsito.
Agora, em função da LGPD, as seguradoras e

corretoras de seguros necessitarão ser muito mais cuidadosas
com estas informações, principalmente as seguradoras, que
podem se tornar um alvo fácil para eventuais condenações na
esfera judicial.
Em função disto, a tendência é que haja uma

pressão por parte das seguradoras para que as corretoras de
seguros parceiras demonstrem que estejam em compliance
com a Lei, a fim de mitigar seus riscos.
Abre-se aqui um leque de oportunidades para as

corretoras de seguros, vez que aquelas que demonstrarem
estar em conformidade se posicionarão de forma diferenciada
no mercado, angariando melhores oportunidades de negócio,
ao mesmo tempo em que mitigam todos os riscos jurídicos e
regulatórios, no que diz respeito à LGPD.
Dito isso, é de extrema importância que as

empresas do setor securitário se atentem melhor aos seus
processos de vendas, promovendo treinamentos recorrentes e
utilizando termos contratuais específicos, com a finalidade de
garantir a confidencialidade e o tratamento adequado dos
dados pessoais.
46. IMPACTO DA LGPD NO COMÉRCIO EM
GERAL
Se a LGPD já era uma exigência para todas as

empresas, dos mais variados setores, com esta crescente
demanda por serviços de entrega e de comércio eletrônico, os
comerciantes também passarão a ser palco de grandes
impactos provocados pela Lei.
Felizmente, a LGPD abre possibilidades ao

tratamento de dados pessoais que vai muito além de um
simples termo de consentimento, o que pode facilitar as
operações dos comerciantes que estejam procurando se
adequar.
É claro que a diferença da situação dos

comerciantes aos demais setores não se limita ao comércio
eletrônico e a serviços de entrega, devendo todas as demais
organizações se atentarem aos impactos nos demais setores,
como é o caso do RH e do Comercial.
47. IMPACTO DA LGPD NOS SINDICATOS E
ASSOCIAÇÕES
À luz da LGPD, as informações sobre a filiação

sindical ou sobre a filiação a uma organização de caráter
religioso, filosófico ou político de determinada pessoa são
consideradas como dados sensíveis e devem ser tratadas com
um maior nível de segurança e confidencialidade.
Ou seja, além da obrigatoriedade de conformidade

com a Lei, os sindicatos e associações possuem este
agravante.
Outro ponto muito importante a ser observado nos

sindicatos se trata da implementação de medidas de
segurança da informação eficazes, sobretudo medidas físicas
de segurança, tendo em vista o grande volume de dados
tratados em meios físicos nestas organizações.
Em caráter de emergência, os sindicatos deverão

redigir e implementar algumas políticas, principalmente a
política de segurança da informação e a política de privacidade
e proteção de dados, além, claro, de realizar um mapeamento
de dados pessoais bem elaborado, que contemple todo o ciclo
de vida do tratamento destes dados.
A título de curiosidade, a LGPD abre a possibilidade,
aos sindicatos, de realizarem negociações coletivas sobre o
tratamento de dados pessoais. Uma vez que, com as
disposições da Reforma Trabalhista o que predomina é o
acordado entre os órgãos representativos de classe,
certamente haverá mais segurança jurídica no tratamento de
dados pelas empresas.
48. IMPACTO DA LGPD NOS INSTITUTOS DE
PESQUISA
Primeiramente, é importante destacar que, tendo em

vista que os institutos de pesquisa possuem como atividade
principal o tratamento de grandes volumes de dados pessoais,
a LGPD contemplou uma hipótese de tratamento específica
pra realização de estudos por estes órgãos de pesquisa, com
a sugestão de que os dados pessoais utilizados nestes
estudos devem ser anonimizados sempre que possível.
Daí a necessidade de se realizar um bom programa

de adequação dentro do instituto de pesquisa, a fim de garantir
que todas as determinações legais estão sendo obedecidas, e
evitando problemas judiciais no futuro.
A título de destaque, a adequação com a legislação

aumenta substancialmente a credibilidade do instituto perante
os seus clientes, visto que a segurança da informação envolve
a garantia de integridade dos dados e confiabilidade dos
resultados da pesquisa.
49. CASE: INCIDENTE ENVOLVENDO UMA
CORRETORA DE SEGUROS E UM CONDOMÍNIO
Veja-se um caso envolvendo o vazamento de

informações pessoais por uma funcionária de uma corretora
de seguros.
Para dar um presente a sua esposa, um

determinado senhor resolveu comprar um carro de leilão. Ao
fazer o seguro, a funcionária da corretora de seguros
reconheceu que aquele senhor morava no mesmo condomínio
que ela.
Ao chegar a sua casa, a funcionária da corretora

revelou essa informação ao seu marido. Dias depois, em uma
briga no grupo de WhatsApp do condomínio, essa informação,
de que o carro era proveniente de leilão, acaba sendo
revelada, provocando um total constrangimento para este
senhor e sua esposa.
O caso em si ocorreu meses antes da LGPD entrar

em vigor. Entretanto, se a situação narrada tivesse ocorrido já
com a vigência da Lei, haveria consequências a dois agentes
de tratamento distintos:
1) a corretora de seguros, através da sua
colaboradora, que não deveria ter revelado essa
informação em decorrência do sigilo profissional,
mesmo ao seu esposo;
2) e o condomínio, pelo mal uso do grupo de
WhatsApp. Este caso ilustra como é recomendada a
utilização de listas de transmissão por parte dos
condomínios, a fim de não expor os condôminos.
50. CASE: VAZAMENTO DE INFORMAÇÃO EM UM
CONDOMÍNIO
Este incidente ocorreu em um condomínio em uma

cidade no interior de São Paulo, em que um determinado
senhor, acompanhado de sua amante, entrou no condomínio
onde ela residia para levá-la a sua casa.
Um dos porteiros o reconheceu pelas câmeras de

segurança e fotografou a imagem do monitor de segurança,
compartilhando a foto com um amigo. Esta mesma imagem
chega ao conhecimento da esposa deste senhor, culminando
em um divórcio entre ambos.
Neste caso, se ocorrido na vigência da LGDP, o

condomínio e, por extensão, os condôminos, poderiam ser
responsabilizados pela conduta do porteiro, ficando evidente
também que a maioria dos problemas relacionados à LGPD se
dá pelas condutas dos próprios funcionários da empresa.
51. CASE: CONSTRUTORA E CONDOMÍNIO
Veja-se também um caso em que um dos

funcionários de um condomínio divulga de forma
indiscriminada os dados pessoais de todos os moradores.
Alguns destes condôminos que tiveram seus dados

vazados, então, decidem notificar a Construtora sobre o
incidente, embora esta não tivesse qualquer relação com esse
incidente de segurança.
Ao que tudo indica, a construtora teria sido

notificada por apresentar, aos olhos dos moradores, um maior
potencial financeiro em uma eventual demanda judicial.
Caso não estivesse em conformidade com a LGPD,

poderia se considerar inviável que a construtora se livrasse
desta responsabilidade pelo incidente de segurança,
justamente em decorrência da responsabilidade objetiva,
conforme dispõem o art. 43 desta Lei e o art. 14 do Código de
Defesa do Consumidor.
Ou seja, a única alternativa neste caso seria

suportar o ônus e, após, tentar uma ação de regresso contra o
condomínio, pleiteando os prejuízos.
52. CASE: PASTOR COM HIV
Este caso em específico ocorreu em um hospital.
Um certo senhor, pastor de uma igreja, começou a

realizar o tratamento em um hospital de referência para o
tratamento de HIV.
Uma das enfermeiras do hospital percebeu que se

tratava do pastor da sua igreja e logo passou a investigar um
pouco mais, acessando de forma ilícita o computador do
médico, descobrindo inclusive que este pastor estava em uma
relação extraconjugal homoafetiva.
Esta informação chega à igreja do pastor,

culminando na perda do seu cargo e também no seu divórcio.
Para mitigar riscos como este, no caso do hospital,

este poderia ter adotado algumas políticas internas que teriam
inibido toda essa situação constrangedora com o titular de
dados, como o bloqueio automático da tela dos computadores
e uma política de mesa limpa, evitando-se deixar papéis
espalhados em cima da mesa.
53. CASE: ATESTADO MÉDICO
Em uma fábrica em uma cidade no interior de São

Paulo, um dos operários tirou licença para realizar uma cirurgia
de hemorroida. Um dos funcionários que estava no escritório
do RH logo tomou contato com os seus documentos de
licença, identificando o funcionário e espalhando a informação
pela fábrica.
Assim que voltou da licença, o funcionário passou a

ser chamado por todos com o apelido de “hemorroida”.
Tempos depois, este funcionário, já desgastado com a
situação, ingressou e ganhou uma vultuosa indenização em
uma ação trabalhista contra a fábrica.
Este exemplo serve para destacar os cuidados que

devem ser tomados pelas empresas, sobretudo no setor de
RH, como, por exemplo, a implementação de uma política de
mesa limpa que poderia ter evitado toda esta situação.
54. CASE: PIOR FUNCIONÁRIO
Em uma empresa especializada em vendas diretas,

existia um painel, logo na entrada da empresa, com um ranking
das vendas realizadas por cada funcionário. Entretanto,
através deste ranking, era possível identificar qual era o
colaborador que realizava menos vendas, causando assim um
constrangimento a este funcionário.
Após algum tempo, desgastado com a situação,

este funcionário que realizava poucas vendas ingressou com
uma demanda judicial contra a empresa, ganhando uma
indenização vultuosa por assédio moral.
Neste caso, existe uma revelação desnecessária de

informações relativas ao funcionário, que inclusive atentam
contra a legislação trabalhista e a legislação de proteção de
dados pessoais.
Daí a necessidade de se estabelecer um programa

de compliance efetivo, tanto na área trabalhista, quanto para a
proteção de dados e privacidade.
55. CASE: IMAGEM DO FUNCIONÁRIO
Um dos grandes problemas enfrentados pelas

empresas gira em torno do tratamento de alguns dados
específicos dos seus funcionários, sobretudo quando
necessários para a realização de ações de marketing, como é
o caso do uso da fala e da imagem dos funcionários.
Nestes casos, não se recomenda a utilização de um

termo de consentimento, justamente por este consentimento
não possuir o atributo de “livre” que confere a LGPD, tendo em
vista a relação de subordinação estabelecida na relação de
trabalho.
Assim, deve-se tratar estes dados através de

alguma das outras bases legais da LGPD, como aquela do
legítimo interesse ou à execução do contrato, devendo haver
tratativas contratuais bem amarradas para que se dê a cessão
de direitos de imagem daquele funcionário, o que deve ocorrer
mediante uma contraprestação por parte da empresa quando
utilizados para fins comerciais.
56. CASE: OFICIAL DE JUSTIÇA
Veja-se o caso em que um indivíduo se apresenta

como oficial de justiça na recepção da empresa, demandando
a busca e apreensão de um determinado computador.
Entretanto, este suposto oficial apresenta

documentos falsos, e assim consegue subtrair o computador
que possuía uma vasta base de dados com informações
sigilosas da empresa.
Uma das formas de mitigar esta situação, que é uma

prática pouco adotada no Brasil, é a verificação da
autenticidade do mandado apresentado pelo oficial de justiça
e do seu documento pessoal.
De fato, há uma necessidade premente de

regulamentação deste tipo de situação por parte do Estado, a
fim de conferir um grau confiável de autenticidade à identidade
das pessoas.
Situação como esta é tão grave que, recentemente,

no estado do Rio de Janeiro, um dos maiores chefes do tráfico
conseguiu sair pela porta da frente do presídio, portando um
alvará de soltura falso.
57. CASE: ACESSO À BASE DE DADOS DA
IMOBILIÁRIA
Antes de se demitir, um funcionário de uma
imobiliária acessou e copiou da sua base de dados mais de
850 registros de clientes.
Entretanto, através de uma política de registro de

logs bem implementada, a imobiliária logo conseguiu
identificar o vazamento e tomar as medidas cabíveis.
Caso não tivesse implementado estas medidas de

adequação à LGPD, a imobiliária poderia facilmente ser
responsabilizada pelo vazamento destes dados, além de
poder gerar toda uma sorte de outros problemas, inclusive na
seara criminal.
Importante ressaltar que, tamanha a gravidade e a

magnitude que estes problemas vêm tendo para as empresas
localizadas no país, foi aprovada recentemente uma alteração
no Código Penal que agrava as penas para estes tipos de
crimes, como o cometido pelo funcionário da imobiliária.
58. CASE: SINDICATO E JORNAL
Em um caso emblemático, o jornal Metrópole foi

processado por um determinado sindicato por ter revelado
dados de um dos sindicalizados, sendo posteriormente
condenado a indenizar o titular de dados.
Este caso demonstra o despreparo dos julgadores

lidarem com a LGPD, já que órgãos de imprensa, pelo artigo
4º da LGPD, podem tratar dados pessoais para fins
jornalísticos sem terem que se submeter à legislação de
proteção de dados, com a finalidade de proteger a liberdade
de imprensa.
REFERÊNCIAS BIBLIOGRÁFICAS
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR
ISO/IEC 27002. Tecnologia da Informação. Código de Prática
para Gestão da Segurança da Informação. Rio de Janeiro,
2013.
MICHELETTI, Miqueias; BORGES, Túlio. LGPD – O abismo

entre a teoria e a prática. São Paulo, 2021;
BASTOS, Celso Ribeiro. Curso de direito constitucional.

São Paulo: Saraiva, 2021.
BEAL, Adriana. Segurança da informação: princípios e

melhores práticas para a proteção dos ativos de informação
nas organizações. São Paulo: Atlas, 2005.
BIONI, Bruno Ricardo. Compreendendo o conceito de

anonimização e dado anonimizado. Revista do Advogado.
São Paulo, n. 144, nov. 2019.
_________________. De 2010 a 2018: a discussão brasileira

sobre uma lei geral de proteção de dados. Jota, 2018.
Disponível em:
https://www.camara.leg.br/proposicoesWeb/fichadetramitacao
?idProposicao=2084378. Acesso em: 30/12/2020.
__________________. Proteção de Dados Pessoais: a
função e os limites do consentimento. Rio de Janeiro: Forense,
2020.
BRASIL. Constituição da República Federativa do Brasil de

1988.
_________________. EC nº 115, de 10 de fevereiro de 2022.

Altera a Constituição Federal para incluir a proteção de dados
pessoais entre os direitos e garantias fundamentais e para
fixar a competência privativa da União para legislar sobre
proteção e tratamento de dados pessoais.
__________.CD/ANPD Nº 1, de 28 DE OUTUBRO DE 2021

Aprova o Regulamento do Processo de Fiscalização e do
Processo Administrativo Sancionador no âmbito da Autoridade
Nacional de Proteção de Dados.
__________.CD/ANPD Nº 2, DE 27 DE JANEIRO DE 2022

Aprova o Regulamento de aplicação da Lei nº 13.709, de 14
de agosto de 2018, Lei Geral de Proteção de Dados Pessoais
(LGPD), para agentes de tratamento de pequeno porte.
______________.LEI Nº 14.132, DE 31 DE MARÇO DE 2021

Acrescenta o art. 147-A ao Decreto-Lei nº 2.848, de 7 de
dezembro de 1940 (Código Penal), para prever o crime de
perseguição; e revoga o art. 65 do Decreto-Lei nº 3.688, de 3
de outubro de 1941 (Lei das Contravenções Penais).
___________. Decreto nº 10.474, de 26 de agosto de 2020.

Aprova a Estrutura Regimental e o Quadro Demonstrativo dos
Cargos em Comissão e das Funções de Confiança da
Autoridade Nacional de Proteção de Dados e remaneja e
transforma cargos em comissão e funções de confiança.
___________. Decreto nº 8.771, de 11 de maio de 2016.

Regulamenta a Lei nº 12.965, de 23 de abril de 2014, para
tratar das hipóteses admitidas de discriminação de pacotes de
dados na internet e de degradação de tráfego, indicar
procedimentos para guarda e proteção de dados por
provedores de conexão e de aplicações, apontar medidas de
transparência na requisição de dados cadastrais pela
administração pública e estabelecer parâmetros para
fiscalização e apuração de infrações.
___________. Decreto nº 9.094, de 17 de julho de 2017.

Regulamenta dispositivos da Lei nº 13.460, de 26 de junho de
2017.
___________. Decreto-lei nº 2.848, de 7 de dezembro de
1940. Código Penal.
___________. Decreto-lei nº 4.657, de 4 de setembro de

1942. Lei de Introdução às normas do Direito Brasileiro.
___________. Decreto-lei nº 5.452, de 1º de maio de 1943.

Aprova a Consolidação das Leis do Trabalho.
___________. Lei nº 5.172, de 25 de outubro de 1966.

Denominado Código Tributário Nacional. Dispõe sobre o
Sistema Tributário Nacional e institui normas gerais de direito
tributário aplicáveis à União, Estados e Municípios.
___________. Lei nº 8.078, de 11 de setembro de 1990.

Dispõe sobre a proteção do consumidor e dá outras
providências.
___________. Lei nº 8.112, de 11 de dezembro de 1990.
Dispõe sobre o regime jurídico dos servidores públicos civis da
União, das autarquias e das fundações públicas federais.
___________. Lei nº 8.212, de 24 de julho de 1991. Dispõe

sobre a organização da Seguridade Social, institui Plano de
Custeio, e dá outras providências.
___________. Lei nº 8.846, de 21 de janeiro de 1994. Dispõe
sobre a emissão de documentos fiscais e o arbitramento da
receita mínima para efeitos tributários, e dá outras
providências.
___________. Lei nº 10.406, de 10 de janeiro de 2002.

Institui o Código Civil.
___________. Lei nº 12.813, de 16 de maio de 2013. Dispõe

sobre o conflito de interesses no exercício de cargo ou
emprego do Poder Executivo federal e impedimentos
posteriores ao exercício do cargo ou emprego; e revoga
dispositivos da Lei nº 9.986, de 18 de julho de 2000, e das
Medidas Provisórias nº 2.216-37, de 31 de agosto de 2001, e
2.225-45, de 4 de setembro de 2001.
___________. Lei nº 12.965, de 23 de abril de 2014.

Estabelece princípios, garantias, direitos e deveres para o uso
da Internet no Brasil.
___________. Lei nº 13.105, de 16 de março de 2015.

Código de Processo Civil.
___________. Lei nº 13.709, de 14 de agosto de 2018. Lei

Geral de Proteção de Dados Pessoais.
___________. Lei nº 13.848, de 25 de junho de 2019. Dispõe
sobre a gestão, a organização, o processo decisório e o
controle social das agências reguladoras, altera a Lei nº 9.427,
de 26 de dezembro de 1996, a Lei nº 9.472, de 16 de julho de
1997, a Lei nº 9.478, de 6 de agosto de 1997, a Lei nº 9.782,
de 26 de janeiro de 1999, a Lei nº 9.961, de 28 de janeiro de
2000, a Lei nº 9.984, de 17 de julho de 2000, a Lei nº 9.986,
de 18 de julho de 2000, a Lei nº 10.233, de 5 de junho de 2001,
a Medida Provisória nº 2.228-1, de 6 de setembro de 2001, a
Lei nº 11.182, de 27 de setembro de 2005, e a Lei nº 10.180,
de 6 de fevereiro de 2001.
___________. Medida provisória nº 954, de 17 de abril de

2020. (Vigência encerrada). Dispõe sobre o compartilhamento
de dados por empresas de telecomunicações prestadoras de
Serviço Telefônico Fixo Comutado e de Serviço Móvel Pessoal
com a Fundação Instituto Brasileiro de Geografia e Estatística,
para fins de suporte à produção estatística oficial durante a
situação de emergência de saúde pública de importância
internacional decorrente do coronavírus (covid-19), de que
trata a Lei nº 13.979, de 6 de fevereiro de 2020.
___________. Resolução BCB nº 4.658/18. Dispõe sobre a

política de segurança cibernética e sobre os requisitos para a
contratação de serviços de processamento e armazenamento
de dados e de computação em nuvem a serem observados
pelas instituições financeiras e demais instituições autorizadas
a funcionar pelo Banco Central do Brasil.
CAVOUKIAN, Ann. Privacy by Design: The 7 Foundational

Principles - Implementation and Mapping of Fair Information
Practices. Disponível em: https://www.ipc.on.ca/wp-
content/uploads/resources/pbd-implement-7found-
principles.pdf. Acesso em: 21.12.2020.
CHEUNG, Anne S. Y.; WEBER, Rolf H. (orgs). Privacy and

Legal Issues in Cloud Computing. Cheltenham: Edward
Elgar Publishing, 2016.
COMPARATO, Fábio Konder. Rumo à justiça. São Paulo:

Saraiva, 2010.
CONSELHO DA EUROPA. Convention for the Protection of

Individuals with regard to Automatic Processing of
Personal Data. Disponível em
[https://www.coe.int/en/web/conventions/full-list/-
/conventions/rms/0900001680078b37]. Acesso em
16/11/2020.
COTS, Márcio; OLIVEIRA, Ricardo. Lei Geral de Proteção de
Dados Pessoais – Comentada. 3º ed. São Paulo, Revista dos
Tribunais, 2019.
DONEDA, Danilo. Da privacidade à proteção de dados. Rio

de Janeiro: Renovar, 2005.
HARARI, Yuval Noah. Homo Deus. São Paulo: Companhia

das Letras, 2016.
______________. Yuval Noah. 21 lições para o século 21.

São Paulo: Companhia das Letras. 2018.
HEILWEIL. Rebecca. Why algorithms can be racist and

sexist. VOX, 2020. Disponível em:
<https://www.vox.com/recode/2020/2/18/21121286/algorithms
-bias-discrimination-facial-recognition-transparency>.
IDC's Global DataSphere Forecast Shows Continued Steady

Growth in the Creation and Consumption of Data. IDC, 2020.
Disponível em:
https://www.idc.com/getdoc.jsp?containerId=prUS46286020.
Acesso em 13/11/2020.
KANELLOS, Michael. 152,000 Smart Devices Every Minute In

2025: IDC Outlines The Future of Smart Things. Forbes, 2016.
Disponível em
https://www.forbes.com/sites/michaelkanellos/2016/03/03/152
000-smart-devices-every-minute-in-2025-idc-outlines-the-
future-of-smart-things/?sh=281bb41d4b63. Acesso em
13/11/2020.
KOBIE, Nicole. The complicated truth about China's social

credit system. Wired, 2019. Disponível em:
<https://www.wired.co.uk/article/china-social-credit-system-
explained>.
LAGO JR., Antônio. Responsabilidade civil por atos ilícitos

na Internet. São Paulo: Ed. LTr, 2001.
LIMA, Cíntia Rosa Pereira de Lima. Consentimento inequívoco

versus expresso: o que muda com a LGPD? Revista do
Advogado. São Paulo, n. 144, nov. 2019
LISBOA, Roberto Senise. Manual de Direito Civil. V.3.

Contratos. 7. E. São Paulo: Saraiva, 2012.
MACIEL, Kátia Regina Ferreira Lobo Andrade (Coord.). Curso

de direito da criança e do adolescente – aspectos teóricos
e práticos. 7ª ed. São Paulo: Saraiva, 2014.
MALDONADO, Viviane Nóbrega (Coord.); BLUM, Renato
Opice (Coord.). LGPD – Lei Geral de Proteção de Dados –
Comentada. 2ª ed. São Paulo: Revista dos Tribunais, 2019.
MCDONALD, Aleecia M.; CRANOR, Lorrie Faith. The Cost of

Reading Privacy Policies. Journal of Law and Policy for
information Society, 2008 v.4.
MEIRELLES, Hely Lopes. Direito Administrativo Brasileiro.

43º ed. São Paulo: Malheiros, 2018.
MELLO, Rafael Munhoz de. Princípios constitucionais de

direito administrativo sancionador: As sanções
administrativas à luz da Constituição Federal de 1988. São
Paulo: Malheiros, 2007.
MENDES, Gilmar Ferreira; SARLET, Ingo Wolfgang;

COELHO, Alexandre Zavaglia. Direito, inovação e
tecnologia. São Paulo: Saraiva, 2015. v. 1.
MENDES, Laura Schertel (Coord.); DONEDA, Danilo (Coord);

SARLET, Ingo Wolfgang (Coord.) et al. Tratado de Proteção
de Dados Pessoais. 1º ed. Rio de Janeiro: Forense, 2021.
MOREIRA, Rodrigo Pereira; MEDEIROS, Jaqueline Souza.

Direito ao Esquecimento: Entre a Sociedade da Informação e
a Civilização do Espetáculo. In: Revista de Direito Privado,
vol. 70, ano 17. São Paulo: RT, 2016.
MULHOLLAND, Caitlin. Dados pessoais sensíveis e

consentimento na Lei Geral de Proteção de Dados Pessoais.
Revista do Advogado. São Paulo, n. 144, nov. 2019.
NARAYANAN, Arvind; SHMATIKOV, Vitaly. Myths and

Fallacies of “Personally Identifiable Information”.
Communications of the ACM. Association for Computing
Machinery, jun/2010, v. 53, n. 06. Disponível em:
www.cs.utexas.edu/~shmat/shmat_cacm10.pdf>. Acesso em
07.12.2020.
ORGANIZAÇÃO DAS NAÇÕES UNIDAS (ONU). Declaração

Universal dos Direitos Humanos, 1949.
______________________. Human Right Council. Thirty-

second session. Disponível em:
<http://www.un.org/ga/search/view_doc.asp?symbol=A/HRC/
32/L.20>. Acesso em 16.11.2020.
ORGANIZAÇÃO DOS ESTADOS AMERICANOS (OEA).

Corte Interamericana de Direitos Humanos. Caso de
Fontevecchia and D’amico v. Argentina, julgado em
29.11.2011. Disponível em:
https://www.corteidh.or.cr/docs/casos/articulos/seriec_238_po
r.pdf. Acesso em: 27/01/2020.
OSÓRIO, Fábio Medina. Direito Administrativo

Sancionador. São Paulo: Revista dos Tribunais, 2010.
SILVA, Jennifer Gomes da. Direito ao esquecimento: a bola

agora está com o Supremo Tribunal Federal. Conjur, 2020.
Disponível em: <https://www.conjur.com.br/2020-set-
30/jeniffer-gomes-direito-esquecimento-pauta>. Acesso em
29/01/2021.
UNIÃO EUROPEIA. Regulamento (UE) 2016/679 do

Parlamento Europeu e do Conselho, de 27 de abril de 2016,
relativo à proteção das pessoas singulares no que diz respeito
ao tratamento de dados pessoais e à livre circulação desses
dados e que revoga a Diretiva 95/46/CE (Regulamento Geral
sobre a Proteção de Dados). Disponível em: < https://eur-
lex.europa.eu/legal-
content/PT/TXT/HTML/?uri=CELEX:32016R0679>. Acesso
em 28/01/2021.
VILLAS BÔAS CUEVA, Ricardo, DONEDA, Danilo, MENDES,

Laura Schertel (Org.). Lei Geral de Proteção de Dados (Lei
nº 13.709/2018) - A caminho da efetividade: contribuições para
a implementação da LGPD. São Paulo: Thomson Reuters,
2020.
VIOLA, Maria. Transferência de dados entre Europa e

Brasil: Análise da Adequação da Legislação Brasileira. Rio de
Janeiro: ITS Rio, 2019. Disponível em: <https://itsrio.org/wp-
content/uploads/2019/12/Relatorio_UK_Azul_INTERACTIVE_
Justificado.pdf>. Acesso em: 16.12.2020.
WONG, Julia Carrie. The Cambridge Analytica scandal

changed the world – but it didn't change Facebook. The
Guardian, 2019. Disponível em:
<https://www.theguardian.com/technology/2019/mar/17/the-
cambridge-analytica-scandal-changed-the-world-but-it-didnt-
change-facebook>. Acesso em: 28/01/2021.

Descomplicando A LGPD

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Descomplicando A LGPD

Enviado por

Direitos autorais:

Formatos disponíveis

DESCOMPLICANDO A LGPD

O EFEITO PRÁTICO DA LEI

Proibida a reprodução total ou parcial, por qualquer meio ou

Título: Descomplicando a LGPD – o efeito prático da lei

1. A LEI E SEUS OBJETIVOS ......................................................16

2. TRATAMENTO DE DADOS E FUNDAMENTOS DA LGPD......21

3. A ABRANGÊNCIA DA LEI ........................................................25

4. OS PRINCÍPIOS DA LEI E SUAS PARTICULARIDADES ........28

5. DADO PESSOAL E DADO PESSOAL SENSÍVEL ...................32

7. O BANCO DE DADOS PARA EFEITOS DA LEI .......................36

8. OS ATORES DA LGPD ............................................................41

9. CONSENTIMENTO DO TITULAR DE DADOS .........................43

10. OUTRAS HIPÓTESES DE TRATAMENTO DE DADOS .........46

11. O USO DE DADOS DE CRIANÇAS .......................................55

12. O TRATAMENTO DE DADOS PÚBLICOS .............................58

13. ANONIMIZAÇÃO E PSEUDONIMIZAÇÃO .............................61

14. CICLO DE VIDA DO DADO ....................................................64

15. DIREITOS DO TITULAR .........................................................67

16. O PAPEL DOS AGENTES DE TRATAMENTO .......................70

18. A RESPONSABILIDADE DO OPERADOR .............................77

19. O ENCARREGADO DE DADOS.............................................79

20. A ANPD E SEU PAPEL ..........................................................84

21. A APLICAÇÃO DA LGPD AO PODER PÚBLICO ...................85

22. TRANSFERÊNCIA INTERNACIONAL DE DADOS PESSOAIS

23. A VPN COMO MANOBRA DA LEI ..........................................96

24. POR QUE SE ADEQUAR À LGPD .........................................98

25. SEGURANÇA DA INFORMAÇÃO ........................................100

26. AS PRINCIPAIS AMEAÇAS EM SEGURANÇA DA

27. PUBLICIDADE DO INCIDENTE DE SEGURANÇA ..............109

28. AS SANÇÕES ......................................................................111

29. AS MEDIDAS QUE DEVEM SER ADOTADAS .....................113

30. PLANO DE AÇÃO.................................................................118

31. DATA MAPPING ...................................................................119

32. ADEQUAÇÃO CONTRATUAL ..............................................120

33. IMPLEMENTAÇÃO DE POLÍTICAS .....................................121

34. O CANAL DO TITULAR ........................................................123

35. O RIPD .................................................................................127

37. IMPACTO DA LGPD NAS RELAÇÕES TRABALHISTAS .....133

38. IMPACTO DA LGPD NAS VENDAS .....................................137

39. IMPACTO DA LGPD NOS CONDOMÍNIOS..........................143

40. IMPACTO DA LGPD NOS ESCRITÓRIOS DE

41. IMPACTO DA LGPD NO MERCADO IMOBILIÁRIO .............167

42. IMPACTO DA LGPD NO SETOR LOGÍSTICO .....................170

43. IMPACTO DA LGPD NAS ESCOLAS ...................................174

44. IMPACTO DA LGPD NO SETOR DA SAÚDE ......................179

45. IMPACTO DA LGPD NAS CORRETORAS DE SEGURO .....180

46. IMPACTO DA LGPD NO COMÉRCIO EM GERAL ...............182

47. IMPACTO DA LGPD NOS SINDICATOS E ASSOCIAÇÕES 183

48. IMPACTO DA LGPD NOS INSTITUTOS DE PESQUISA .....185

49. CASE: INCIDENTE ENVOLVENDO UMA CORRETORA DE

50. CASE: VAZAMENTO DE INFORMAÇÃO EM UM

51. CASE: CONSTRUTORA E CONDOMÍNIO ...........................189

52. CASE: PASTOR COM HIV ...................................................190

53. CASE: ATESTADO MÉDICO ................................................191

55. CASE: IMAGEM DO FUNCIONÁRIO....................................193

56. CASE: OFICIAL DE JUSTIÇA...............................................194

57. CASE: ACESSO À BASE DE DADOS DA IMOBILIÁRIA ......195

58. CASE: SINDICATO E JORNAL ............................................196

REFERÊNCIAS BIBLIOGRÁFICAS ............................................197

Em uma sociedade que experimenta, cada vez

O fato é que nos últimos anos, viu-se um aumento

Neste diapasão, a LGPD impacta todas as áreas da

Como já se esperava, é uma legislação que tem um