Origem e evolução da proteção de dados

Origem da Proteção de Dados
Escândalos envolvendo a privacidade em redes sociais, com consequências

políticas e publicitárias, fizeram com que o uso indevido dos dados se tornasse
uma tema de grande debate em todo mundo. Ficou evidente a brecha no
ordenamento jurídico, incapaz de impor um controle efetivo à forma como os
dados são utilizados, manipulando a privacidade das pessoas e implicando em
concorrência desleal.
Como resposta, nos últimos anos, diversos países criaram normas, buscando
regulamentar a segurança das informações dos cidadãos. Neste ponto,
o General Data Protection Regulation (GDPR), editado na Europa em 2016, e
o California Consumer Pricavy Act (CCPA), nos EUA, em 2018, representam
grandes referências mundiais em proteção de dados.
O efeito, portanto, foi a criação de uma nova ordem jurídica que determina a
reestruturação na organização de empresas e empreendedores, envolvendo
investimentos em segurança dos dados em todos os níveis, já que a falta de
adequação pode acarretar diversas consequências.
A imagem a seguir representa esse movimento:
LGPD
A Lei Geral de Proteção de Dados, Lei nº 13.709/2018, ou simplesmente
LGPD, foi editada para proteger, principalmente, a privacidade das pessoas,
através da regulamentação do uso de dados de pessoas físicas por empresas,
órgãos públicos ou ainda por outra pessoa física.
O objetivo da Lei, através de seus princípios e regras, é proteger os direitos do

cidadão à liberdade, privacidade e ao livre desenvolvimento da personalidade,
além do desenvolvimento econômico, tecnológico e inovação, bem como a livre
iniciativa, livre concorrência e defesa do consumidor, sendo a pessoa física o
titular do direito protegido.
Preciso me adequar?
Todos aqueles que, de alguma forma, recebem ou usam dados de pessoas
devem estar atentos à LGPD, especialmente quando houver fins econômicos
envolvidos.
A importância e a necessidade de adequação à LGPD encontram as seguintes

razões:
► Exigência legal: assim como em vários países do mundo, o Brasil editou

a Lei n° 13.709/2018, estabelecendo as regras para uso e proteção de dados
pessoais;
► Exigência comercial: a tendência é a criação de um "isolamento" para

aqueles que não estiverem adequados à LGPD, o que resultará em perda de
competitividade e, consequentemente, perda financeira;
► Valor de mercado: o empreendedor que garante aos parceiros comerciais,

clientes e colaboradores segurança dos dados individuais, com aplicação de
condutas eficientes, agrega valor à sua marca, tornando um atrativo ao
negócio; e
► Evitar punições: com o uso dos dados individuais protegidos por lei, o Poder
Judiciário, com base na responsabilidade civil e penal, bem como os agentes
fiscalizatórios, como a Autoridade Nacional de Proteção de Dados (ANPD), têm
à sua disposição diversas punições pedagógicas e reparatórias para aqueles
que descumprirem a lei. Merece destaque o fato de que a tutela desses direitos
pelos Tribunais já se encontra vigente e vem sendo aplicada.
 Início

 Visão geral

 Aplicação
Aplicação Geral
Quando uma pesssoa física ou jurídica, seja da iniciativa privada ou da
administração pública, utiliza dados pessoais de qualquer cidadão, inclusive
por meios digitais, deve cumprir as regras da LGPD.
Por se tratarem de normas gerais, devem ser observadas, inclusive, pela

União, Estados, Distrito Federal e Municípios. É o que dispõe o artigo 1° e
parágrafo único da Lei n° 13.709/2018.

Regras e Exceções
Regras de aplicação da LGPD:
LGPD Base Legal
Titular dos Dados: a LGPD protege os dados de

todo cidadão, pessoa física (consumidor, fornecedor,
empregado, por exemplo)
Ela não se destina a proteger informações ou

Partes registros de pessoas jurídicas Artigo 1°
Envolvidas
Quem Deve Cumprir: toda pessoa física ou jurídica,
seja empresa privada, com ou sem fins lucrativos, ou
ainda órgãos do governo, que realizar qualquer tipo
de operação com dados de um cidadão, está sujeita a
esta norma, devendo se adequar e cumprir suas regras
Dados Pessoais: informações que identificam
determinada pessoa, seja de forma direta ou indireta,
como, por exemplo: nome, identidade, CPF,
profissão, naturalidade
Artigo 5°
Dados Dados Pessoais Sensíveis: informações relacionadas
Protegidos à intimidade do cidadão capazes de gerar Incisos I e
discriminação. Por exemplo: origem racial ou étnica, II
convicção religiosa, opinião política, filiação a
sindicato ou a organização de caráter religioso,
filosófico ou político, saúde, vida sexual, dado
genético ou biométrico
Local de Tratamento: a LGPD se aplica às
operações realizadas nos dados no Brasil
Local do Titular: a norma será aplicada quando o
objetivo, oferta, fornecimento de bens ou serviços, ou
Aplicação o tratamento, for realizado em dados de titular Artigo 3°
Territorial localizado no Brasil
Local da Coleta: quando os dados tiverem sido
coletados no Brasil, deve-se aplicar a LGPD.
Considera-se aqui coletado o dado do titular que se
encontre em território nacional no momento da coleta
Não Para fins exclusivamente particulares: a LGPD Artigo 4°
Aplicação não se aplica para pessoa física que realiza algum tipo
de tratamento de dados de outra pessoa física para
fins exclusivamente particulares e não econômicos
Como exemplo, é possível citar a troca de dados entre

amigos ou familiares para uma confraternização
Há divergência, em âmbito trabalhista, acerca da

aplicação ou não da LGPD aos empregadores
domésticos, já que se tratam de pessoas físicas que
coletam dados sem finalidade econômica
Para fins exclusivamente artísticos, jornalísticos

ou acadêmicos (neste último caso, deve-se observar
as disposições dos artigos 7° e 11, para coleta de
dados pessoais e dados pessoais sensíveis,
respectivamente): nestas hipóteses, não haverá
proteção da LGPD aos dados coletados
Para fins exclusivamente relacionados à segurança
pública, defesa nacional, segurança do Estado ou
atividades de investigação criminal: os dados
utilizados com estas finalidades não estão sujeitos à
LGPD
Dados provenientes de fora do Brasil e desde que
não haja:
- comunicação;
- compartilhamento com agentes de tratamento

brasileiros; ou
- transferência internacional de dados com outro país

que não o de origem e este garanta proteção aos
dados.
Nestas hipóteses, não haverá proteção de dados pela

LGPD
Para melhor compreensão, cabe, como exemplo, a

empresa multinacional que envia profissional ao
Brasil para exercer atividade eventual. Os dados desse
profissional serão armazenados no Brasil, no local de
representação dessa multinacional.
Entretanto, como o dado vem de outro país com

regras própria de proteção e não houve comunicação,
compartilhamento ou transferência internacional de
dados com agentes de tratamento brasileiros, já que
estes permanecem sendo tratados pela mesma
empresa controladora, não haverá aplicação da
LGPD, visto que serão observadas as regras de
proteção do país de origem
Bases da LGPD
Os fundamentos da norma, dispostos no artigo 2° da Lei n° 13.709/2018,
apresentam os motivos pelos quais ela foi editada, auxiliando na sua
interpretação e aplicação.
Na LGPD, tem grande relevância os fundamentos da Privacidade e da

Autodeterminação Informativa, já que, a partir deles, passa-se a reconhecer que
o "dono" dos dados, ou seja, o cidadão, tem o direito de controlar e de ser
informado acerca da utilização de suas informações pessoais. Com isso, os
dados deixam de ser patrimônio exclusivo de quem os utiliza para pertencer a
quem eles de fato se referem.
Fundamentos
Direito à Privacidade: base sobre a qual a LGPD se estrutura, garantida por
meio da inviolabilidade da intimidade, da honra, da imagem e da vida privada.
Autodeterminação Informativa: direito de o titular das informações controlar e
ser objetivamente informado acerca da finalidade e utilização dos seus dados.
Liberdade de Expressão, de Informação, Comunicação e Opinião: reflete o
direito de acesso às informações do titular dos dados.
Desenvolvimento Econômico e Tecnológico, e Inovação: a LGPD visa trazer
maior segurança jurídica aos novos cenários criados pelos avanços da
tecnologia.
Livre Iniciativa, Concorrência e Defesa do Consumidor: retrata o
reconhecimento da necessidade de criar regras de atuação para ambientes de
grande competitividade e assimetria nas relações jurídicas.
Livre Desenvolvimento da Personalidade, Dignidade e Exercício da Cidadania
pelas Pessoas: assegura às pessoas o direito de determinar e exercer suas
próprias vontades.
Princípios da LGPD
Em relação aos princípios, que se traduzem em direitos e deveres impostos
pela norma, observa-se que, na LGPD, a boa-fé, isto é, a lealdade entre as
partes, deve estar sempre presente na utilização de dados.
A partir dela, torna-se imprescindível, não apenas cumprir a lei, mas

demonstrar, de forma proativa, clara e objetiva, as medidas que estão sendo
utilizadas de forma eficaz no seu cumprimento. É o que se observa no artigo
6° da Lei n° 13.709/2018.
Princípios da LGPD
⇒ Finalidade: o dado obtido deve estar vinculado a um propósito específico;
⇒ Adequação: a utilização deve ser compatível com as finalidades informadas
ao titular dos dados;
⇒ Necessidade: devem ser aplicadas as atividades exclusivamente
necessárias e coleta apenas daquilo que é essencial para a obtenção da
finalidade indicada;
⇒ Livre Acesso: direito do titular de consultar, de forma clara, acessível e
gratuita, todas os procedimentos aplicados nos seus dados;
⇒ Qualidade dos dados: garantia da exatidão e necessidade dos dados para o
cumprimento da finalidade específica;
⇒ Transparência: dever de apresentar informações claras, precisas e de fácil
consulta aos titulares acerca dos seus dados, sendo protegido aqui o direito ao
segredo comercial e industrial;
⇒ Segurança e prevenção: dever de utilizar técnicas de proteção eficazes
contra acessos não autorizados ou ilícitos, vazamento ou perda acidental;
⇒ Não discriminação: proíbe a utilização de dados pessoais para fins
discriminatórios;
⇒ Responsabilidade e Proteção de Contas: se traduz no dever de não apenas
cumprir a LGPD, mas, principalmente, demonstrar a adoção de todas as
medidas para esse fim.
Conceitos da Norma
Por se tratarem de regras gerais para proteção de dados, a própria LGPD traz
organizados, de forma didática, os conceitos dos seus principais termos,
viabilizando sua compreensão.
Estes conceitos encontram-se previstos no artigo 5° da Lei n° 13.709/2018.
Dado Pessoal
Base legal: artigo 5º, inciso I
Art. 5°. Para os fins desta Lei, considera-se:
I - dado pessoal: informação relacionada a pessoa natural identificada ou identificável;
Considera-se dado pessoal o registro que identifica determinada pessoa, direta

ou indiretamente. Por isso, são considerados dados pessoais também aqueles
que, quando reunidos, são capazes de tornar a pessoa identificada ou que
tenham sido usados para traçar perfil comportamental.
Exemplos:
Dados identificados: nome, CPF, RG, PIS/PASEP;
Dados identificáveis: profissão, especialidade, naturalidade, filiação.
Dado Pessoal Sensível

Base legal: artigo 5º, inciso II
II - dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião polí
religioso, filosófico ou político, dado referente á saúde ou à vida sexual, dado genético ou biométrico, qua
São dados vinculados à pessoa que digam respeito à sua intimidade, capazes
de gerar discriminação. Entende-se, inicialmente, que o rol apresentado pela
LGPD é apenas exemplificativo.
Exemplos: cor da pele/etnia, estado civil, orientação sexual, dados financeiros

repassados ao contador para declaração de Imposto de Renda.
Cabe ressaltar que alguns dados podem, em determinado momento, se

caracterizar como um dado pessoal e, em outro, como um dado pessoal
sensível, devendo a análise considerar o caso específico e a finalidade para a
qual será utilizado.
Cita-se, como exemplo, a imagem de uma pessoa, cuja utilização pode ser
apenas para fins de elaboração de um documento (dado pessoal) ou para
candidatar-se a uma vaga de emprego (dado pessoal sensível).
Dado Anonimizado
Base legal: artigo 5º, inciso III
III - dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização d
seu tratamento;
Trata-se de um dado referente a uma pessoa que não possa ser mais
identificada, através de meios técnicos razoáveis e disponíveis. De acordo com
o dicionário, anonimizar significa tornar anônimo, ocultar-se. Os dados
anonimizados não são protegidos pela LGPD, salvo se for possível sua
reversão.
Exemplo: pessoa de olhos verdes. Quando todas as outras informações dessa

pessoa foram excluídas, restando apenas esse registro, considera-se que o
mesmo foi anonimizado, já que não é possível, a partir dele apenas, identificar a
quem se refere.
Anonimização
Base legal: artigo 5º, inciso XI
XI - anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por m
associação, direta ou indireta, a um indivíduo;
É o processo de exclusão do banco de dados de algumas informações de uma

determinada pessoa, a partir do qual, o dado remanescente (anonimizado)
perde permanentemente a possibilidade de ser associado direta ou indireta ao
seu titular. Este processo é realizado através de meios técnicos razoáveis e
disponíveis no momento do tratamento.
Exemplo: pessoa de olhos verdes. Durante o processo de anonimização, todos

os outros dados desse titular foram descartados, não sendo possível identificá-
lo apenas com essa informação.
Pseudonimização
Base legal: artigo 13, § 4º
Art. 13, § 4º. Para os efeitos deste artigo, a pseudonimização é o tratamento por meio do qual um dado
um indivíduo, senão pelo uso de informação adicional mantida separadamente pelo controlador em ambien
Neste caso, os dados não são apagados, como ocorre na anonimização, mas
sim dissociados, ou seja, separados, sendo possível, inclusive, identificar o
caminho para se chegar ao titular do dado.
Por esse motivo, o dado pseudoanonimizado permanece protegido pela LGPD,

principalmente porque será capaz de identificar, direta ou indiretamente, um
indivíduo quando for reunido com outros dados mantidos separadamente pelo
controlador.
Banco de Dados
Base legal: artigo 5º, inciso IV
IV - bando de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em
É o conjunto de dados pessoais, organizado de maneira estruturada, em meio

físico ou digital, em um ou vários locais.
Exemplo: banco de dados de empregados em formato eletrônico, com as

informações necessárias para o contrato de trabalho. Também é o caso de um
banco de dados de uma pessoa jurídica com informações de seus clientes,
pessoas físicas, em razão de uma relação de consumo.
Titular
Base legal: artigo 5º, inciso V
V - titular: pessoa natural a quem se referem os dados pessoais que são objeto do tratamento;
É a pessoa física "dona dos dados" que serão utilizados e a quem se dirige a
proteção da LGPD.
Exemplo: empregado, prestador de serviços autônomos, clientes pessoa física

(consumidor).
Controlador
Base legal: artigo 5º, inciso VI
VI - controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões r
Pessoa física ou jurídica, tanto da administração pública, quanto da iniciativa

privada, que usará os dados e a quem caberão as decisões referentes ao
tratamento de dados pessoais. É o responsável por direcionar o que será feito
com as informações.
São exemplos: empregador em relação aos dados dos empregados e o

contador que coleta dados dos seus clientes para enviar a declaração de
Imposto de Renda de Pessoa Física.
Operador
Base legal: artigo 5º, inciso VII
VII - operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados
Pessoa física ou jurídica, tanto da administração pública quanto da iniciativa

privada, que realiza operações de tratamento (como, usar, armazenar,
compartilhar, reproduzir, classificas, dentre outras) nos dados pessoais,
seguindo as orientações do controlador e em nome deste.
Exemplo: escritório de contabilidade quando recebe dados pessoais dos

empregados do seu cliente para processar a folha de pagamento e gerar as
guias de recolhimento tributários.
Encarregado
Base legal: artigo 5º, inciso VIII
VIII - encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicaçã
Nacional de Proteção de Dados (ANPD);
É o responsável por intermediar o relacionamento entre o controlador, os

titulares de dados e a ANPD, além de orientar as medidas necessárias na
proteção dos dados. Ao controlador, cabe indicar o encarregado.
É também conhecido como DPO (Data Protection Officer) em razão do termo

utilizado pelo GDPR (General Data Protection Regulation).
Agentes de Tratamento
Base legal: artigo 5º, inciso IX
IX - agentes de tratamento: o controlador e o operador;
São aqueles que realizam operações de tratamento nos dados pessoais. A

LGPD lista exclusivamente o controlador e o operador como agentes de
tratamento.
Tratamento
Base legal: artigo 5º, inciso X
X - tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, pro
transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou con
difusão ou extração;
É considerada como tratamento toda atividade ou procedimento realizado em

dados pessoais. A LGPD lista apenas exemplos de operações de tratamento,
cabendo uma interpretação ampla deste conceito.
Exemplo: coleta de CPF do consumidor para lançar na nota fiscal;

armazenamento de nome, telefone e email do cliente em cadastro físico ou
digital para envio de propaganda; dados dos empregados para o contrato de
trabalho, dentre outros.
Consentimento
Base legal: artigo 5º, inciso XII
XII - consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratam
É a forma, clara e evidente, em que o titular concorda com a utilização dos seus
dados para uma finalidade específica. Para isso, deve não só receber todas as
informações que envolvem o seu uso, como também ter a possibilidade de
conceder ou não essa autorização. A partir do conceito, é possível estabelecer
os requisitos essenciais para que o consentimento seja considerado válido:

o livre;
o informado;
o inequívoco; e
o para uma finalidade específica.
Representa um importante instrumento da LGPD, não apenas para autorizar o

uso dos dados, como também para demonstrar a autoridade reconhecida ao
titular sobre seus dados.
Bloqueio
Base legal: artigo 5º, inciso XIII
XIII - bloqueio: suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pesso
O bloqueio ou a suspensão das atividades, que envolvem o manuseio de dados

pessoais, poderá ser determinado pela ANPD, diante da verificação de uso
indevido ou ilícito de dados pessoais ou ainda mediante requerimento do titular
dos dados quando esses forem desnecessários, excessivos ou estiverem
sendo tratados em desrespeito à LGPD.
Eliminação
Base legal: artigo 5º, inciso XIV
XIV - eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados independen
A eliminação é a exclusão do dado de forma permanente do bando de dados

dos agentes de tratamento, podendo ser determinada pela ANPD, diante da
verificação de uso indevido ou ilícito de dados pessoais, ou ainda mediante
requerimento do titular tanto em relação aos dados tratados com seu
consentimento, como àqueles desnecessários, excessivos ou que estiverem
sendo usados em desrespeito à LGPD.
Exemplo: arquivo ou programa de computador apagado, ou destruição de
documentos físicos.
Transferência Internacional de Dados

Base legal: artigo 5º, inciso XV
XV - transferência internacional de dados: transferência de dados pessoais para país estrangeiro ou organis
É o fluxo de informações pessoais para controladores ou operadores

localizados em país estrangeiro, ou ainda para organismo internacional,
condicionado a regras específicas pela LGPD.
São considerados organismos internacionais as organizações não

governamentais, como Cruz Vermelha ou Médicos Sem Fronteiras, e as
organizações intergovernamentais como ONU (Organização das Nações
Unidas), OMC (Organização Mundial do Comércio), OIT (Organização
Internacional do Trabalho), dentre outros.
Exemplo: empresas multinacionais ou empresas brasileiras com representação

no exterior, em que há coleta de dados de pessoas físicas no Brasil enviados
para fora do país. Armazenamento de informações em nuvem gerenciada por
empresa estrangeira.
Uso Compartilhado de Dados

Base legal: artigo 5º, inciso XVI
XVI - uso compartilhado de dados: comunicação, difusão, transferência internacional, interconexão de

pessoais por órgãos e entidades públicos no cumprimento de suas competências legais ou entre esses e ent
ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados;
Ocorre quando, órgãos públicos, empresas privadas ou empreendedores

trocam, entre si, dados pessoais ou utilizam reciprocamente informações de
seus bancos de dados.
Nestes casos, é imprescindível a autorização ou o conhecimento específico do

titular do dado para que o compartilhamento esteja em conformidade com a
LGPD.

RIPD - Relatório de Impacto de
Proteção de Dados Pessoais
Base legal: artigo 5º, inciso XVII
XVII - relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a d
gerar riscos às liberdade civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismo
Trata-se de um documento de responsabilidade do controlador, onde são

listadas as operações de tratamento que podem gerar riscos aos dados dos
titulares e as medidas adotadas para protegê-los. Sua principal importância
está em demonstrar que o controlador tem conhecimento das vulnerabilidades
da sua atividade, gerencia seus riscos de forma segura e demonstra sua
conformidade com a LGPD.
Destaca-se ainda que, em situações específicas, a elaboração deste

documento é obrigatória.
Órgão de Pesquisa
Base legal: artigo 5º, inciso XVIII
XVIII - órgão de pesquisa: órgão ou entidade da administração pública direta ou indireta ou pessoa jurídic
as leis brasileiras, com sede e foro no país, que inclua em sua missão institucional ou em seu objetivo soc
científico, tecnológico ou estatístico;
São órgãos ou entidades do governo, ou ainda empresa privada sem fins

lucrativos, com sede no Brasil, que tenha como objetivo a pesquisa de caráter
histórico, científico, tecnológico ou estatístico. Os dados pessoais usados por
esse órgão têm regramento específico na LGPD.
Autoridade Nacional
Base legal: artigo 5º, inciso XIX
XIX - autoridade nacional: órgão da administração pública responsável por zelar, implementar e fiscalizar
ANPD (Autoridade Nacional de Proteção de Dados) é o órgão da administração

pública, já estabelecido pela Lei n° 13.853/2019, responsável por regulamentar,
orientar e fiscalizar o cumprimento desta Lei em todo o território nacional,
competindo, inclusive, dentre outras atribuições, a aplicação das sanções
previstas nesta norma.
A ANPD é um órgão com papel fundamental na implementação da LGPD, já que
inúmeras diretrizes e condutas encontram-se pendentes de regulamentação,
Vigência
A Lei n° 13.709/2018 foi publicada em 15.08.2018 com a previsão para entrar
em vigor, em princípio, no dia 18.02.2020, conforme a redação original do artigo
65.
Entretanto, em razão de diversas alterações na legislação, sua vigência foi

dividida em fases, conforme se observa abaixo:
Matéria Vigência Base Legal
Normas referentes à infraestrutura de Artigos 55-A a 55-L

28.12.2018
fiscalização Artigos 58-A e 58-B
Demais artigos que tratam de direitos e

18.09.2020 Demais artigos da LGPD
deveres
Normas sobre penalidades administrativas 01.08.2021 Artigos 52, 53 e 54
Alterações Legislativas
Conforme visto acima, a LGPD tinha previsão para entrar em vigor, a princípio,
no dia 18.02.2020, segundo a redação original do artigo 65.
Entretanto, a Medida Provisória n° 869/2018, convertida na Lei n° 13.853/2019,
alterou esse dispositivo para estabelecer novas vigências:
- Inciso I: 28.12.2018 para os artigos que tratam das partes integrantes da
fiscalização, ou seja, a Autoridade Nacional de Proteção de Dados (ANPD) e o
Conselho Nacional de Proteção de Dados Pessoais e da Privacidade (artigos
55-A, 55-B, 55-C, 55-D, 55-E, 55-F, 55-G, 55-H, 55-I, 55-J, 55-K, 55-L, 58-A e 58-B).
Esta previsão foi mantida, tendo entrado em vigor de fato no dia 28.12.2018;
- Inciso II: 15.08.2020, quanto aos demais artigos da LGPD. Essa data,
entretanto, foi novamente prorrogada e subdividida pelas seguintes normas:
• Lei n° 14.010/2020: alterou para 01.08.2021 o início de vigência dos artigos

que tratam das penalidades (artigos 52, 53 e 54), permanecendo assim até o
presente momento;
• Medida Provisória n° 959/2020: estabeleceu que, em 03.05.2021, entrariam
em vigor os demais artigos.
Ocorre que, na conversão da MP n° 959/2020 na Lei n° 14.058/2020, a previsão
do dispositivo que previa a vigência da LGPD foi excluído, fazendo com que a
eficácia da Lei n° 13.853/2019, que havia sido suspensa pela MP n° 959/2020,
voltasse a ser aplicada para a LGPD.
Contudo, os efeitos da Lei n° 13.853/2019 só refletiram na LGPD na data da
sanção presidencial da Lei n° 14.058/2020, em 18.09.2020, já que apenas
nesse momento a MP n° 959/2020 deixou de produzir seus efeitos, conforme
estabelece o artigo 62, § 12, da Constituição Federal, que dispõe:
Art. 62. (...)
(...)
§ 12. Aprovado projeto de lei de conversão alterando o texto original da medida provisória, esta manter-
projeto.
Desta forma, conclui-se que os demais artigos da LGPD, aqueles para os quais
não há previsão de data de vigência específica, entraram em vigor em
18.09.2020.
Proteção de Dados no Mundo

A proteção de dados, no mundo, teve inicialmente como referência legislativa a
Diretiva n° 46 de 1995, que trouxe as primeiras regras de circulação de dados
pessoais na Europa.
Na sequência, foi editado o General Data Protection Regulation (GDPR),

consolidando e atualizando normas anteriores sobre o tema também na
Europa. Este Regulamento é hoje fonte de interpretação e aplicação da
proteção de dados no Brasil.
Nos EUA, não há especificamente um regulamento que unifique o assunto, mas
diversas normas tratando de forma setorial ou regionalmente, como é o caso
do California Consumer Privacy Act (CCPA), publicado em 2018, considerado
como uma grande referência no contexto americano.
Proteção de Dados no Brasil

No ordenamento jurídico brasileiro, desde 1988, os direitos fundamentais
regulados pela LGPD já encontravam proteção constitucional, que estabeleceu,
como invioláveis, a intimidade, a vida privada, a imagem e o sigilo dos dados
(artigo 5°, incisos X e XII, da Constituição Federal).
Desde então, inúmeras normas foram editadas no Brasil para conferir

efetividade a esses direitos constitucionais. Em breve exposição, destacam-se:
- Lei n° 8.078/90: Código de Defesa do Consumidor, trazendo a exigência de
formalização de um banco de dados, garantindo acesso ao mesmo e às suas
alterações;
- Lei nº 9.472/97: dispondo sobre a organização dos serviços de

telecomunicações, a criação e funcionamento de um órgão regulador, e a
proteção dos dados pessoais pela prestadora de serviço;
- Lei nº 10.406/2002: Código Civil, estabelecendo regras gerais e tratando dos

Direitos da Personalidade;
- Lei nº 12.414/2011: conhecida como Cadastro Positivo, disciplinando a

criação e consulta a bancos de dados sobre o comportamento financeiro de
consumidores com foco nos pagamentos realizados e a formação de um
histórico de crédito;
- Lei n° 12.527/2011: Lei de Acesso à Informação, regulamentando o direito do

cidadão de receber dos órgãos públicos informações de seu interesse
particular ou de interesse coletivo;
- Lei n° 12.737/2012: Lei Carolina Dieckman, tipificando como crime a invasão

de aparelhos informáticos para obter dados particulares;
- Lei n° 12.965/2014: Marco Civil da Internet, com o objetivo de estabelecer

princípios, garantias, direitos e deveres, tanto para aqueles que usam a internet,
quanto para os que prestam o serviço, regulamentando as responsabilidades, o
armazenamento de dados e as obrigações do Poder Público;
Além da evolução observada na legislação brasileira, o modelo europeu,

instituído pelo GDPR - 2016/679, representou grande fonte de inspiração para a
LGPD.
Ainda em busca da maior proteção constitucional aos dados e não apenas ao

seu sigilo, foi promulgada a Emenda Constitucional n° 115/2022, incluindo a
proteção de dados pessoais entre os direitos e garantias fundamentais no
artigo 5° e fixando ainda a competência privativa da União para legislar sobre
esse tema no artigo 22.
Com isso, a proteção e tratamento dos dados pessoais, previstos na LGPD,

passam a ser reconhecidos constitucionalmente para garantia da privacidade e
promoção da dignidade humana, o que reforça a responsabilidade dos agentes
de tratamento a se adequarem e cumprirem as normas de proteção de dados,
especialmente para evitar multas e demais penalidades previstas na LGPD.
Conceito
A Lei n° 13.709/2018, no artigo 5, inciso IX, define como agentes de tratamento
aqueles que assumem o papel de controlador e operador nas atividades que
envolvem, de alguma forma, o uso de dados pessoais.
Cada uma dessas partes tem suas atribuições, funções e responsabilidades

definidas, de modo que é essencial compreender tais determinações para
viabilizar o melhor cumprimento da norma.
Assim, em linhas gerais, na LGPD, são conceituados como:
Controlador: pessoa física ou jurídica, de direito público ou privado, a quem

competem as decisões referentes ao tratamento de dados pessoais (artigo 5º,
inciso VI, da LGPD). É aquele que determina as finalidades, condições e meios
de processamento dos dados.
Operador: pessoa física ou jurídica, de direito público ou privado, que realiza o

tratamento de dados pessoais em nome do controlador (artigo 5º, inciso VII, da
LGPD). Trata-se de um “órgão executivo”, na medida em que apenas cumpre as
determinações do controlador no processamento dos dados.
A diferença, portanto, entre operador e controlador reside no poder decisório. O

controlador é quem detém o poder de decisão quanto à coleta e finalidade do
uso dos dados pessoais, já o operador apenas vai usar os dados pessoais e
realizar as operações definidas pelo controlador.
A LGPD traz também uma outra figura importante chamada de Encarregado,

conhecido também como DPO (Data Protection Officer) pela legislação
Europeia, que, apesar da sua relevância, não foi caracterizado como agente de
tratamento, cabendo ao mesmo, principalmente, intermediar a comunicação
entre o controlador, os titulares dos dados e a ANPD.
Obrigações
Dentre as principais obrigações dos agentes de tratamento, destacam-se:
♦ Cumprir os princípios da norma e garantir os direitos do titular (artigo 7º, §

6º, e artigo 18 da LGPD);
♦ Manter registro das operações de tratamento de dados realizadas (artigo 37

da LGPD);
♦ Elaborar Relatório de Impacto à Proteção de Dados - RIPD (artigo 38 da

LGPD);
♦ Reparação de Danos (artigo 42 da LGPD);

♦ Adotar medidas e garantir a segurança dos dados sob sua responsabilidade,
mesmo após o término do tratamento (artigos 46 e 47 da LGPD);
♦ Comunicar à ANPD e ao titular dos dados em caso de incidente de segurança

que possa acarretar risco ou dano (artigo 48 da LGPD);
♦ Formular e implementar regras de boas práticas e governança (artigo 50 da

LGPD).
Controlador
Como Identificar
Conceito legal: controlador é a pessoa física ou jurídica, de direito público ou

privado, a quem competem as decisões referentes ao tratamento de dados
pessoais (artigo 5º, inciso VI, da LGPD).
Na prática: é aquele que tem a responsabilidade de definir quais dados serão

necessários, suas finalidades e os meios pelos quais serão usados, cabendo as
decisões e as responsabilidades de adequação à LGPD. Podem assumir a
posição de controlador tanto a pessoa física quanto uma empresa, com ou
sem fins lucrativos, da iniciativa privada ou órgãos do governo.
Como exemplo de controladores, é possível citar: clínicas de saúde, bancos,

mercados, e ainda os empregadores em relação aos seus empregados, etc.
Cabe ao controlador proporcionar meios ou tecnologias para proteção dos

dados, realizar o mapeamento e plano de riscos, reelaborando contratos com
parceiros e colaboradores, bem como reestruturando a sua organização para
estar de acordo com a LGPD.
Assim, o controlador é figura central que decide ou identifica:
► Quais dados serão coletados;
► Qual o motivo da coleta;
► Fundamento ou a base legal que justifica o tratamento;
► De quais titulares os dados serão coletados;
► Finalidade para o uso dos dados;
► A quem caberá compartilhar, divulgar ou transferir os dados; e
► Ciclo de vida dos dados, ou seja, o período ou as fases necessárias de uso.

Caracterizam-se como controladores, por exemplo, as empresas (pessoas
jurídicas) ou empreendedores (pessoas físicas) que usam informações
pessoais de clientes, consumidores, empregados, pacientes, fornecedores,
independentemente de terem ou não finalidade lucrativa.
Atribuições
Somada à função de garantir a segurança dos dados e adequar os seus

processos à LGPD, aquele que ocupar a posição de controlador deve ter
atenção para o cumprimento específico das seguintes atribuições:
» Obter o consentimento, quando necessário, e informar ao titular quando

houver alterações no tratamento de dados (inciso I do artigo 7° e § 2º do artigo
9° da LGPD);
» Indicar o encarregado pelo tratamento de dados e divulgar publicamente sua

identidade e informações de contato (artigo 41 da LGPD);
» Prestar contas dos dados coletados, cabendo demonstrar as finalidades da

coleta, o uso dos dados para o fim que especificou e as medidas de segurança
utilizadas (incisos I, II e X do artigo 6º da LGPD);
» Garantir a portabilidade dos dados, quando requerida pelo titular, ou seja,

viabilizar o direito do titular em transferi-los entre controladores, segundo sua
vontade, ou, nos termos da LGPD, conforme sua autodeterminação informativa
(inciso V do artigo 18 da LGPD);
» Tratar os dados com transparência, principalmente quando fundamentado no

legítimo interesse (§ 2º do artigo 10 da LGPD);
» Manter registro das operações de tratamento (artigo 37 da LGPD). Neste

ponto, o Mapeamento dos Dados e o Relatório de Impacto à Proteção dos
Dados (RIPD) são instrumentos que auxiliam no cumprimento desta obrigação;
» Eliminar os dados após o término do tratamento, salvo quando houver

autorização específica para sua conservação (artigo 16 da LGPD);
» Elaboração de RIPD, referente ao uso dos dados, respeitados os segredos

comercial e industrial (artigo 38 da LGPD);
» Garantir os direitos dos titulares, de forma clara, adequada e objetiva (inciso

VII do artigo 9° da LGPD);
» Desenvolver, implementar e fiscalizar as boas práticas e padrões de

governança, através das quais serão aplicadas as medidas de segurança
(artigo 50 da LGPD).
Responsabilidades
Além das atribuições anteriores, cabe ao controlador as seguintes

responsabilidades:
- Em caso de incidentes de segurança, reparar danos patrimoniais, morais,

individuais ou coletivos causados em razão de violação à LGPD (artigo 42 da
LGPD);
- Comunicar à autoridade nacional e ao titular a ocorrência de incidente de

segurança que possa acarretar risco ou dano relevante aos titulares (artigo 48
da LGPD).
Operador
Como Identificar
Conceito legal: operador é a pessoa natural ou jurídica, de direito público ou

privado, que realiza o tratamento de dados pessoais em nome do controlador
(inciso VII do artigo 5º da LGPD).
Na prática: é aquele que realiza as operações nos dados segundo as instruções

do controlador. Tem como dever seguir à risca suas determinações, não
cabendo controlar os dados, nem alterar seu uso ou finalidade. É quem
efetivamente coleta, armazena, compartilha, classifica, elimina, ou seja, trata os
dados. Sua existência não é obrigatória, dependendo, em regra, da delegação
do processamento dos dados pessoais pelo controlador.
Assim, como a LGPD não impõe a existência do operador, o próprio controlador

pode realizar, diretamente, as operações com os dados pessoais, acumulando
a função de Controlador e Operador.
São exemplos de operadores, o contador (quando contratado como pessoa

física) ou o escritório de contabilidade, uma empresa de call center ou de
cobrança.
Atribuições
O operador tem como função principal executar as tarefas definidas pelo

controlador, cabendo ainda destacar as seguintes atribuições:
» Registrar as operações realizadas e sua manutenção;
» Obedecer às instruções do controlador;
» Seguir as regras de boas práticas e governança previstos na LGPD;

» Manter os dados pessoais protegidos contra incidentes de vazamento e uso
indevido.
Responsabilidades
Cabe ainda ao operador de dados responder e reparar os possíveis danos

causados ao titular dos dados quando descumprir à LGPD (artigo 42 da LGPD).
Muito embora a norma determine que cabem ao controlador as decisões
acerca do tratamento dos dados, impôs ao operador o mesmo peso de
responsabilidade pelo ressarcimento dos danos eventualmente causados
(parágrafo único do artigo 44 da LGPD)
Controlador por Equiparação
Caso as determinações do controlador não sejam cumpridas pelo operador,

este será chamado de Controlador por Equiparação (inciso I do § 1° do artigo
42 da LGPD).
Isto porque o operador, que não seguir as orientações do controlador, desde

que lícitas, passará a ser considerado como um controlador, respondendo com
o mesmo grau de responsabilidade.
Este efeito apenas não será aplicado quando for possível demonstrar que:
- não realizou o tratamento causador do dano; ou não
- houve violação à lei; ou ainda
- o dano decorre de culpa exclusiva do titular ou de outra pessoa que não o

operador.
Muito embora a LGPD enquadre o operador como controlador por equiparação

neste caso, em termos práticos, com a regulamentação até então vigente, não
há grande distinção quanto às consequências para este agente de tratamento,
já que, pela disposição do artigo 42, ele responderá pelos danos que causar
tanto na qualidade de operador - quando age em nome do controlador - quanto
no caso em que for enquadrado como controlador por equiparação, ou seja,
quando deixar de seguir as orientações lícitas do controlador.
Definição
Definição legal: é a pessoa indicada pelo controlador e operador para atuar,
principalmente, como canal de comunicação entre o controlador, os titulares
dos dados e a Autoridade Nacional de Proteção de Dados - ANPD (artigo 5°,
inciso VIII, da LGPD).
É também conhecido como DPO (Data Protection Officer) pela legislação
Europeia (GDPR).
Na prática: é o responsável por ajudar as empresas, que fazem uso dos dados
pessoais, a cumprirem as regras sobre privacidade da LGPD. Por isso, o DPO é
uma ponte entre todas as partes envolvidas na proteção de dados.
Justamente porque o encarregado tem essa função, o controlador deve

divulgar publicamente, de forma clara e objetiva, preferencialmente no seu site,
a identidade (nome) e informações de contato do encarregado, facilitando o
acesso a esse profissional (artigo 41 da LGPD).
Atualmente, tanto a pessoa física quanto a pessoa jurídica podem ser

contratadas para esta função. Na redação original do artigo 5°, inciso VIII, da
LGPD, a atuação do encarregado era restrita à pessoa física. Com a alteração
da Lei n° 13.853/2019, ficou permitida a contratação de empresa terceirizada
para essa função. Neste caso, o controlador deve observar a Lei n° 6.019/74,
que trata sobre a terceirização de atividades, e constar contratualmente a
adequação da empresa contratada encarregado à LGPD.
Apesar de ter responsabilidades relevantes no tratamento dos dados, o

encarregado não é considerado pela norma como um agente de tratamento.
Obrigatoriedade
A indicação do DPO, segundo a LGPD, é um dever do controlador (artigo 41 da
LGPD).
Muito se questionou se todos os tipos de controladores, como pessoa física,

microempreendedor individual ou empresa de pequeno porte, devem atender a
essa obrigatoriedade.
Com a regulamentação da aplicação da LGPD aos agentes de tratamento de

pequeno porte, através da Resolução CD/ANPD n° 002/2022, ficou estabelecida
a não obrigatoriedade de indicação do encarregado por esses controladores
(no artigo 11 Resolução CD/ANPD n° 002/2022).
Neste caso, será necessário disponibilizar um canal de comunicação aos
titulares de dados para atender ao artigo 41, § 2°, inciso I da LGPD.
Entretanto, a indicação de encarregado por parte dos agentes de tratamento de

pequeno porte será considerada política de boas práticas e governança.
Atribuições
A LGPD lista como atribuições para o DPO (artigo 41, § 2º):
» Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos
e adotar providências;
» Receber comunicações da autoridade nacional e adotar providências;
» Orientar os funcionários e os contratados da entidade a respeito das práticas
a serem tomadas em relação à proteção de dados pessoais (por exemplo,
oferecer treinamento); e
» Executar as demais atribuições determinadas pelo controlador ou
estabelecidas em normas complementares.
Ao estabelecer como atribuição do DPO, “adotar providências”, deixou claro

que suas funções não estão esgotadas na norma, cabendo não apenas atuar
como canal de comunicação entre as partes, mas participar ativamente do
cumprimento da LGPD:
» Recebendo do controlador acesso e informações sobre as operações que

envolvem tratamento de dados;
» Analisando o ciclo de vida dos dados pessoais, para que o tratamento esteja
de acordo com os princípios, fundamentos, direitos e deveres da LGPD;
» Orientando e fiscalizando as atividades de tratamento de dados pessoais

realizadas por operadores e/ou controladores.
Responsabilidades
A LGPD estabelece, como regra, a responsabilização pelos danos decorrentes
de seu descumprimento ao controlador e operador, já que cabe a estes o
tratamento dos dados pessoais.
Por esse motivo, a princípio, o encarregado não responderia por penalidades

aplicadas ao controlador, principalmente porque, no desempenho de suas
funções consultivas, a decisão de adotar ou não a sua orientação é do
controlador.
Entretanto, caso o encarregado, na condição de prestador de serviço, tenha

contribuído efetivamente para o dano causado, para responsabilizá-lo, será
necessário analisar as obrigações assumidas contratualmente, com base no
artigo 927 do Código Civil.
Por outro lado, quando o encarregado for empregado do controlador, será

aplicado o artigo 462, § 1º, da CLT que responsabiliza o empregado pelos
danos causados apenas quando houver previsão no contrato de trabalho e o
mesmo tiver agido com negligência, imprudência ou imperícia, ou ainda
quando causar o dano intencionalmente, mesmo que não haja previsão
contratual.
Temas Controvertidos
1. O conhecimento da legislação regulatória é condição para o exercício dessa
função?
O § 4º do artigo 41 da LGPD, em sua redação original, trazia a previsão de que o

encarregado deveria ter essa qualificação. Ocorre que tal dispositivo foi vetado
com a justificativa de que representaria uma exigência com rigor excessivo e
uma restrição ao livre exercício profissional.
Muito embora a norma não imponha essa condição, considerando as

atribuições e responsabilidades do encarregado, é recomendável que seja um
profissional ou empresa com amplo conhecimento em proteção de dados.
2. Indicação de Encarregado em Grupo Econômico
Fundamentada na Teoria do Empregador Único, consolidada pela Súmula n°

129 do TST, alguns doutrinadores já defendem que, quando se tratar de
empresas do mesmo grupo econômico, seria possível indicar apenas um
Encarregado para todas. No GDPR - Regulamento Europeu, há previsão
expressa neste sentido.
A Teoria do Empregador Único reconhece a possibilidade de que o empregado

de qualquer empresa do grupo econômico preste serviços para todas ou
algumas da demais empresas participantes desta conglomeração, sem
caracterizar mais de um vínculo de emprego, desde que essa prestação de
serviços ocorra dentro da mesma jornada de trabalho.
3. O encarregado pode ser empregado do controlador?
Como a LGPD não traz impedimento, há posicionamento permitindo essa

contratação. Entretanto, como o encarregado deve possuir uma autonomia
funcional, a recomendação preventiva é que seja firmado termo aditivo ao
contrato de trabalho, em respeito ao artigo 468 da CLT.
Conceito
A LGPD é uma norma que regulamenta o tratamento de dados pessoais,
inclusive nos meios digitais, por pessoa natural, ou por pessoa jurídica de
direito público, ou privado, com o objetivo de proteger os direitos fundamentais
de liberdade e de privacidade e o livre desenvolvimento da personalidade da
pessoa natural (artigo 1° da LGPD).
Como o objetivo da norma é proteger informações pessoais, são titulares de

dados as pessoas físicas, sejam consumidores, clientes, fornecedores,
empregados, ou ainda crianças e adolescentes.
Destaca-se que as pessoas jurídicas não são consideradas pela LGPD como
titulares. A proteção dos seus dados é tutelada por legislações específicas.
Fundamentos
A LGPD assegura ao cidadão a titularidade dos seus dados pessoais, para
assim garantir os seus direitos fundamentais de liberdade, intimidade e
privacidade.
Os direitos do titular estão previstos ao longo de toda norma. Entretanto, é

possível identificá-los, principalmente, no artigo 9° e do artigo 17 ao 22.
Alguns devem ser destacados por representarem os fundamentos sobre os

quais a LGPD foi estruturada, são estes:
Intimidade e Privacidade
O cidadão tem direito de ter sua intimidade e privacidade respeitados. Com
isso, a sua proteção é a base da LGPD.
Informações sobre intimidade e privacidade do titular são consideradas pela

norma como dados pessoais sensíveis. Sua utilização tem um regramento
específico, dependendo sempre de uma finalidade específica indicada pelo
controlador e, em princípio, do consentimento do titular (artigo 17 da LGPD).
Exercício Regular de Direito

A LGPD determina que os dados pessoais não poderão ser utilizados contra o
seu titular quando ele estiver no exercício regular de um direito. Isso quer dizer
que a pessoa não pode ser prejudicada por expor ou apresentar alguma
informação a seu respeito quando estiver praticando uma conduta autorizada
por lei (artigo 21 da LGPD).
É possível citar aqui uma opinião política ou religiosa exposta em rede social.
Neste caso, o cidadão exerce o direito da livre manifestação do pensamento
garantido pela Constituição. Essa informação não pode ser usada por
controladores contra o próprio titular dos dados, por exemplo, na análise de
crédito.
Autodeterminação Informativa
Direito do titular de decidir ou ser informado sobre qualquer procedimento
realizado com os seus dados pessoais, inclusive de se opor, solicitando até
mesmo a paralisação, quando não houver o seu consentimento ou justificativa
legal ou contratual para o tratamento do dado (artigo 2°, inciso II, da LGPD).
Direito de Ação
A defesa dos interesses e dos direitos dos titulares de dados, de acordo com a
LGPD, poderá ser exercida em juízo, de forma individual ou coletiva (artigo 22
da LGPD).
Livre Acesso
Cabe, aos agentes de tratamento (controlador e operador), garantir, em todas
as situações em que ocorrer utilização de dados pessoais, o acesso facilitado
do seu titular, de forma clara, adequada e objetiva, às informações relacionadas
a (artigo 9° da LGPD):
 finalidade para a qual o dado estará sendo usado;

 forma e tempo de utilização (preserva-se aqui o segredo comercial e
industrial);
 identificação, inclusive de contatos, do controlador e responsabilidades
dos agentes de tratamento envolvidos;
 compartilhamento de dados e sua finalidade;
 direitos específicos do titular (relacionados no artigo 18 da LGPD).
Observa-se, a partir do direito ao Livre Acesso e dos demais princípios e

fundamentos da LGPD, que o titular sempre deverá ser informado e estar
plenamente ciente da utilização dos seus dados, sendo, inclusive de
cumprimento obrigatório, pelos agentes de tratamento, ainda quando o
consentimento do titular não for necessário para a utilização de seus dados.
Direitos do Titular
Com a LGPD, ficou reconhecido que o cidadão é o verdadeiro dono das
informações que lhe dizem respeito, como expressão do seu direito
constitucional à privacidade e intimidade. Isso significa que, em geral, os dados
de cada pessoa só são fornecidos segundo a sua vontade.
Ocorre, entretanto, que, em algumas relações do dia a dia, é necessário

apresentar informações pessoais para que determinado ato possa ser
praticado. Cita-se, por exemplo, dados cadastrais para compra de
medicamentos em farmácias.
Por esse motivo, objetivo da LGPD é proteger os dados pessoais, garantindo

direitos aos titulares, em todos os casos, sendo eles (artigo 18 da LGPD):
» Confirmação da Existência de Tratamento e Acesso aos Dados que são
usados (artigo 18, incisos I e II, da LGPD): representa o direito de ser informado
de que os dados estão sendo usados e o conhecimento de quais dados o
agente de tratamento tem do titular. As informações devem ser claras, por
meio eletrônico ou impresso à escolha do titular (artigo 19):
- de imediato: em formato simplificado; ou
- no prazo de 15 dias, contados da data do requerimento do titular: por

declaração completa, indicando origem, inexistência de registro, critérios
utilizados e finalidade do tratamento, sendo respeitado o segredo comercial e
industrial.
Cabe à ANPD regulamentar os prazos para setores específicos (artigo 19, § 3°,
da LGPD);
» Correção (artigo 18, inciso III da LGPD): direito de corrigir dados incompletos,
inexatos ou desatualizados;
» Eliminação (artigo 18, incisos IV, da LGPD): direito de bloquear, eliminar ou

tornar anônimos os dados desnecessários, excessivos ou tratados em violação
à LGPD. Caso o controlador não possa realizar a eliminação de forma imediata,
deve comunicar ao titular as razões que o impedem de adotar esta medida. São
motivos para não eliminação dos dados: cumprimento de obrigação legal ou
regulatória pelo controlador; estudo por órgão de pesquisa, garantida, sempre
que possível, a anonimização dos dados pessoais; transferência a terceiro,
desde que respeitados os requisitos de tratamento de dados dispostos nesta
Lei; ou uso exclusivo do controlador, vedado seu acesso por terceiro, e desde
que anonimizados os dados;
» Portabilidade (artigo 18, incisos V, da LGPD): direito de transferir os dados de

um prestador de serviços para outro, mediante pedido expresso do titular,
sendo respeitados os segredos comercial e industrial. Não serão transferidos
os dados que já tenham sido anonimizados pelo controlador (§7° do artigo 18
da LGPD). Trata-se aqui do direito do titular de gerenciar e reutilizar seus dados
segundo a sua vontade. A ANPD poderá regulamentar os padrões para
viabilizar essa transferência (artigo 40 da LGPD). Isto porque a LGPD não exige
que o controlador de origem mantenha sistemas operacionais compatíveis
com o controlador que receberá os dados, o que, neste momento, pode
representar uma dificuldade no atendimento deste direito.
Para que o direito à portabilidade ocorra, é importante observar que:
- Nesta transferência não constem dados de terceiros;

- A transmissão dos dados pessoais do titular deve ser realizada de forma
estruturada e em formato que permita a sua utilização subsequente;
- Devem ser utilizados métodos seguros de transferência de dados pessoais.
» Informação sobre compartilhamento (artigo 18, incisos V, da LGPD): direito de

receber informações das entidades públicas e privadas com quem o
controlador tenha compartilhado os dados;
» Consentimento (artigo 18, incisos VI, VIII e IX, da LGPD): é a forma em que o
titular concorda com uso dos seus dados. Tem grande importância para a
LGPD, sendo considerado, em muitos casos, como regra. Para ser válido, deve
corresponder a uma manifestação livre, informada, consciente e direcionada
para uma finalidade determinada. Entretanto, a norma traz exceções em que há
autorização legal para tratamento dos dados sem o consentimento do titular,
previstos nos artigos 7° e 11.
Por esse motivo, o titular tem o direito de receber informação quanto à

necessidade ou não de dar o consentimento e suas consequências, de receber
cópia eletrônica dos seus dados usados com base no consentimento, de
revogá-lo, solicitando a eliminação do dado de forma facilitada e gratuita, e
ainda de se opor à utilização de suas informações quando esta estiver
fundamentada nas hipóteses de dispensa de consentimento, nos casos de
descumprimento à LGPD (§2° do artigo 18 e §3° do artigo 19 da LGPD).
É importante, portanto, implementar a Gestão de Consentimentos, onde serão

registrados, de forma estruturada, os tratamentos de dados realizados com
base nessa finalidade, de modo que esta solicitação de revogação possa ser
atendida de modo ágil e eficaz.
» Direito de Petição (artigo 18, § 1°, da LGPD): o titular pode reclamar junto à
ANPD, e aos organismos de defesa do consumidor, a utilização indevida dos
seus dados pessoais, inclusive se opor ao uso, quando fundamentado em
qualquer hipótese que dispense o consentimento (§§ 1° e 8° do artigo 18 da
LGPD);
» Revisão de Decisões (artigo 20 da LGPD): direito de solicitar esclarecimentos

sobre os critérios e procedimentos utilizados por inteligência artificial (sem
participação humana) destinados a definir comportamentos e resultados, por
meio de algoritmos, inclusive para estabelecer perfil pessoal, profissional, de
consumo, de crédito ou os aspectos de sua personalidade. Consequentemente,
é garantido também ao titular o direito de requerer a revisão das decisões
tomadas unicamente com base nesses resultados. Em resposta, o controlador
deve fornecer informações claras e adequadas sobre os parâmetros e métodos
utilizados, buscando-se, com isso, evitar tratamentos discriminatórios por
sistemas automatizados. Caberá a ANPD fiscalizar os resultados quando, por
segredo comercial e industrial, as informações não forem fornecidas;
» Informação: direito de ser informado, com destaque, sempre que o uso dos
dados pessoais for condição para fornecimento de produto ou serviço, ou,
ainda, para o exercício de direito (artigo 9°, § 3°).
O exercício desses direitos ocorrerá por meio de requerimento expresso do

titular ou seu representante legal ao operador/controlador dos dados, sem
custo.
Em relação ao prazo de resposta, o § 4° do artigo 18 estabelece que a

solicitação deve ser atendida de imediato, cabendo justificativa caso a resposta
não seja possível. Já o artigo 19 estabelece que, especificamente para o pedido
de confirmação de existência ou acesso aos dados pessoais, o requerimento
deve ser atendido de imediato em formato simplificado ou no prazo de 15 dias,
contado da data do requerimento do titular, através de declaração clara e
completa que indique a origem dos dados, a inexistência de registro, os
critérios utilizados e a finalidade do tratamento, observados os segredos
comercial e industrial.
Observa-se que a expressão "de imediato" disposta na norma não define com
precisão o lapso temporal para a resposta dos agentes de tratamento ao
requerimento do titular. Como medida de cautela e até regulamentação da
ANPD (artigo18, §3°), é prudente que a mesma seja fornecida no menor prazo
possível. Para isso, é essencial a criação de procedimentos específicos para
gestão dos requerimentos dos titulares capazes de atendê-los com eficácia e
agilidade. Neste contexto, o processo de mapeamento concluído é
imprescindível, já que através dele será possível identificar que dados possuem
e para quais finalidades.
Caso não seja possível atender à solicitação, cabe ao controlador justificar os

motivos ao titular dos dados e, se for o caso, indicar quem é o agente de
tratamento responsável (§§ 3°, 4° e 5° do artigo 18 da LGPD).
Para atender a esses direitos, deve o controlador:
1. Criar um canal de comunicação de fácil acesso e seguro aos titulares, capaz

de confirmar sua autenticidade. Os controladores podem, por exemplo, instituir
endereços de e-mail específicos para o recebimento de cada tipo de pedido dos
titulares ou outro sistema que classifique os requerimentos, permitindo melhor
gerenciamento pelos agentes de tratamento;
2. Estabelecer procedimentos eficientes, através de um sistema de registro de

requerimentos dos direitos dos titulares, de forma categorizada, contendo a
identificação do titular, a data do pedido e o status de cumprimento para
assegurar que estão sendo atendidos. Importante lembrar que representa
inadequação à LGPD o controlador continuar utilizando e tratando dados que
foram objeto de um pedido de eliminação, bloqueio ou anonimização, por
exemplo.
3. Informar, imediatamente, aos agentes de tratamento com quem tenha

compartilhado os dados a necessidade de realizarem o mesmo procedimento
de correção, eliminação, anonimização ou bloqueio dos dados. Esta
comunicação apenas será dispensada quando for, comprovadamente,
impossível ou venha a gerar um esforço desproporcional (§6° do artigo 18 da
LGPD). Fica evidente, neste ponto, a necessidade de contratar parceiros que
também estejam em conformidade com a proteção de dados, para que tenham
comprometimento e procedimentos institucionalizados para estes fins.
Conceito
Segundo a LGPD, tratamento de dados é toda operação realizada em
informações pessoais que envolva coleta, produção, recepção, classificação,
utilização, acesso, reprodução, transmissão, distribuição, processamento,
arquivamento, armazenamento, eliminação, avaliação ou controle da
informação, modificação, comunicação, transferência, difusão ou extração.
Na prática, significa que, qualquer operação em dados de pessoas físicas,

ainda que não listada acima, pode ser entendida como tratamento de dados e
provavelmente estará sujeita à LGPD. Isto porque, ao prever que “tratamento é
toda operação realizada com dados”, a norma não se limitou às hipóteses
previstas em seu texto.
Glossário
A partir de seu conceito, observa-se que o tratamento de dados estará presente
em inúmeras situações. Assim, para fins exemplificativos e melhor
compreender sua aplicação, encontram-se listadas abaixo atividades que
podem estar inseridas neste contexto e seus significados:
Coleta: recolher os dados pessoais para finalidades específicas;

Produção: produzir o dado referente à pessoa ou criar bens e serviços a partir
do dado pessoal;
Recepção: ato de receber os dados pessoais;
Classificação: ordenar os dados de acordo com critérios pré estabelecidos;
Utilização: utilizar ou aproveitar os dados;
Acesso: ato de conhecer ou consultar as informações;
Reprodução: copiar os dados ou criar bens e/ou serviços a partir do tratamento
de dados;
Transmissão: movimentar ou transferir dados pessoais entre os agentes de
tratamento e/ou com o poder público;
Distribuição: distribuir ou classificar os dados pessoais conforme algum
critério de ordenamento;
Processamento: ato de conferir ou verificar os dados;
Arquivamento: ato de arquivar os dados pessoais, mesmo após o término da
operação, para fins de cumprimento de dever legal, fiscalizações, processos
judiciais, durante o tempo permitido por lei;
Armazenamento: conservação dos dados;
Eliminação: ato de destruir os dados;
Avaliação ou Controle da Informação: ato de monitorar as operações
realizadas com os dados;
Modificação: alteração dos dados pessoais;
Comunicação: transmissão das informações sobre os dados;
Transferência: transferir os dados para outros agentes ou mudar o local do
armazenamento;
Difusão: ato de divulgar dados;
Extração: ato de retirar os dados do local em que se encontravam
armazenados ou realizar cópia.
Bases Legais
Para que os agentes de tratamento (controlador e operador) utilizem os dados
respeitando a LGPD, é necessário observar alguns requisitos, como: verificar o
tipo de dado, a sua finalidade e o fundamento (base legal) que autoriza a sua
utilização.
Quanto aos tipos, os dados se dividem em:
- Dados Pessoais: são aqueles que identificam ou permitem identificar o titular

(identidade, CPF, profissão, nacionalidade); ou
- Dados Pessoais Sensíveis: são aqueles que dizem respeito à intimidade e à

privacidade, capazes de ensejar discriminação contra o seu titular. Por esse
motivo, devem receber maior proteção contra uso indevido ou vazamento.
Finalidade
A finalidade para qual o dado será utilizado é um requisito a ser observado uma
vez que, a partir dela, determinado dado pode se caracterizar em determinado
momento como “pessoal” e em outro como “pessoal sensível”. Por este motivo,
não basta solicitar o dado, é preciso determinar e informar os objetivos que
serão atendidos com ele.
Um exemplo seria a imagem de uma pessoa que, a depender da finalidade,

pode acarretar discriminação contra o titular.
Bases Legais do Tratamento
Para adequar-se à LGPD, é imprescindível que a utilização dos dados esteja

fundamentada em uma das hipóteses previstas na norma, as quais têm sido
chamadas de bases legais para o tratamento.
Assim, os fundamentos da Lei n° 13.709/2018, que autorizam o tratamento,

encontram-se previstos no artigo 7°, para os dados pessoais, e artigo 11, para
os dados pessoais sensíveis.
Como regra geral, apenas será possível realizar o tratamento quando houver
consentimento do titular, ou seja, quando a pessoa física, dona dos dados, for
informada das razões para sua utilização e, expressamente, concordar com
isso. Esse é o principal fundamento para o tratamento de dados.
Entretanto, existem situações em que será possível, ou até mesmo necessário,

tratar os dados ainda que não haja o consentimento do titular. Nestes casos,
será preciso enquadrar-se em uma das bases legais previstas na LGPD,
respeitando, em todos os casos, seus princípios e direitos dos titulares dos
dados (§ 6° do artigo 7° da LGPD).
Abaixo, encontram-se as hipóteses de tratamento permitidas sem o

consentimento, a depender da natureza do dado:
Bases Legais
Para cumprir uma obrigação legal ou regulatória.
Em âmbito trabalhista, as Convenções e Acordos Coletivos têm força de lei e nesse sentido há
debate sobre a possibilidade desses instrumentos estabelecerem regras sobre proteção e uso de dados
Para execução de políticas públicas pela administração pública
Para utilização em estudos por órgão de pesquisa.
Neste caso, os dados, sempre que possível, devem ser anonimizados, ou seja, não devem mais ser
capazes de identificar, de forma permanente, o seu titular
Para a execução de contrato ou algum procedimento preliminar ao contrato, mas, neste último caso,
apenas por solicitação do titular.
Como o contrato representa uma manifestação da vontade, entende-se que, no momento da

celebração, o titular já teve conhecimento e autorizou a utilização dos seus dados
Para o exercício regular de direitos: o objetivo é garantir a ampla defesa, permitindo, por exemplo,
que as partes possam produzir provas utilizando dados pessoais.
Exercício regular de direito é a prática de uma conduta permitida por lei ad
Para proteger a vida, ou a integridade física do titular, ou de terceiro; ou
Para proteger a saúde do titular, exclusivamente, em procedimento realizado por profissionais de

saúde, serviços de saúde ou autoridade sanitária
Para atender aos interesses legítimos do controlador ou de terceiro.
O legítimo interesse, entretanto, não permitirá o tratamento dos dados quando se estiver diante de
direitos e liberdades fundamentais, sendo estes o direito à vida, à liberdade, à igualdade, à segurança
e à propriedade do titular, e que exijam a proteção dos dados pessoais
Para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.
Neste caso, não seria razoável, por exemplo, permitir que o titular solicitasse a exclusão dos seus
dados de cadastros como SPC e SERASA, argumentando a falta de consentimento para este fim
Para prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de

cadastro em sistemas eletrônicos.
A prevenção, entretanto, não permitirá o tratamento dos dados quando se estiver diante de direitos e
liberdades fundamentais, sendo estes o direito à vida, à liberdade, à igualdade, à segurança e à
propriedade do titular, e que exijam a proteção dos dados pessoais
Conclui-se que nas hipóteses acima enquadradas como "não" autorizadas, será
necessário o consentimento do titular para o tratamento do dado.
É importante observar que, se do tratamento de dados pessoais houver

desdobramentos para dados pessoais sensíveis passíveis de causar danos ao
titular, devem ser aplicadas as bases legais dos dados pessoais sensíveis (§ 1°
do artigo 11 da LGPD).
Diante dos fundamentos previstos na norma, incluindo o consentimento, cabe

ao controlador verificar cuidadosamente aqueles que autorizam a utilização
dos dados e, em caso de inúmeros possíveis, é seu dever se fundamentar no
mais específico e adequado, em cumprimento aos princípios da LGPD. Por este
motivo, nem sempre o consentimento será recomendado ou mesmo seguro,
principalmente considerando as controvérsias que existem sobre o tema.
Em razão dessas divergências, serão analisados mais detalhadamente os
requisitos que tornam válidos o consentimento e o legítimo interesse no
tratamento de dados de acordo com a LGPD.
Consentimento do Titular
O consentimento é conceituado pelo inciso XII do artigo 5° da LGPD como a
manifestação livre, informada e inequívoca pela qual o titular concorda com o
tratamento de seus dados pessoais para uma finalidade determinada.
Para a LGPD, representa a primeira base legal de autorização para tratamento

de dados, deixando clara a importância da concordância do titular para a
norma.
Requisitos de Validade
Para o consentimento ser considerado válido e atender à sua finalidade, devem

ser observados alguns requisitos:
1. Manifestação livre, informada e inequívoca: deve representar a plena vontade

do titular.
Como manifestação livre, entende-se que o titular tem o poder de decidir se

deseja ou não dar o consentimento. Caso não seja possível recusar o
tratamento do dado, o entendimento é que o consentimento não preencheu
este requisito de validade.
Por informada, significa que o titular deve ter conhecimento de todas as

informações referentes à utilização dos seus dados, como: finalidade, modo,
duração, compartilhamento, etc. É importante destacar que o consentimento é
dado pelo período em que for determinado no seu termo ou cláusula. Assim,
esgotado esse prazo, deve ser encerrado o tratamento do dado ou solicitado
novo consentimento. Ainda, caso alguma informação seja omitida ou prestada
parcialmente, o consentimento não terá atendido este requisito.
Inequívoca é a manifestação evidente ou que não deixa dúvida quanto à sua

vontade. Com isso, fica proibida a utilização de dados se houver qualquer vício
de consentimento, isto é, aquele fornecido a partir de alguma informação
distorcida, seja provocada por erro, dolo, ou coação, levando a uma
manifestação que não traduz efetivamente a vontade do titular, de modo que se
não tivesse ocorrido o erro, por exemplo, o titular não daria o consentimento (§
3° do artigo 8° e § 1° do artigo 9° da LGPD);
2. Forma: escrita ou qualquer outra que deixe evidente a manifestação da
vontade, sendo admitido também o meio eletrônico, por exemplo. Não cabe
consentimento a partir de uma omissão do titular (artigo 8° da LGPD);
3. Cláusula específica: quando estiver inserido em um contrato ou for realizado

de forma escrita, deverá constar de cláusula específica e destacada das
demais, para que o titular tenha clareza quanto ao consentimento fornecido, em
atenção também ao princípio da transparência (§ 1° do artigo 8° da LGPD);
4. Finalidade: deve ser clara e referir-se a objetivos específicos, inclusive

quando, para o fornecimento de produto ou serviço, ou exercício de um direito,
for imprescindível a utilização dos dados pessoais. Por este motivo, as
autorizações genéricas, que não se relacionam à finalidade, serão consideradas
inexistentes (§ 4° do artigo 8° e § 3° do artigo 9° da LGPD).
Com isso, quando for necessário coletar diversos dados, o controlador deve
indicar pontualmente a finalidade de cada dado e permitir que o titular
concorde individualmente com cada um.
5. Alteração das condições do consentimento: se a qualquer momento a

finalidade, forma, duração do tratamento, identificação do controlador e
compartilhamento de dados forem alterados, é dever do controlador, antes de
realizar qualquer novo procedimento, informar ao titular as alterações,
permitindo-se inclusive que a autorização para uso dos dados seja facilmente
revogada (§ 6° do artigo 8° e § 2° do artigo 9° da LGPD);
6. Compartilhamento de dados: caso o controlador precise comunicar ou

compartilhar dados pessoais com outros controladores, é necessário
consentimento específico para essa finalidade, a não ser que se trate de uma
das hipóteses de dispensa do consentimento. Em todo caso, é imprescindível
dar conhecimento ao titular de que os dados serão compartilhados (inciso V do
artigo 9° e § 5° do artigo 7° da LGPD);
7. Revogação do consentimento: o titular pode a qualquer momento não mais

permitir que seus dados sejam utilizados pelo controlador através da
revogação. O procedimento para tanto deve ser gratuito e facilitado. Entretanto,
as operações que tenham sido realizadas com base no consentimento serão
consideradas válidas enquanto não houver requerimento de eliminação (§ 5°
do artigo 8° da LGPD).
Como exemplo de revogação por procedimento facilitado, é possível citar a

opção "desejo não receber mais esse e-mail" disponível em e-mails
promocionais, a partir do qual o endereço eletrônico do titular é excluído do
banco de dados do controlador.
8. Responsabilidade: é dever do controlador demonstrar que o consentimento
foi obtido com respeito às regras da LGPD, devendo sempre ter meios de
comprovar a ciência e concordância do titular dos dados (§ 2° do artigo 8° da
LGPD). Destaca-se, neste ponto, a importância de, nas Boas Práticas adotadas
pelo controlador, ser aplicada uma gestão do consentimento, em que serão
guardados os registros com as informações prestadas, bem como o controle
quanto ao compartilhamento e sua duração.
Dados Públicos
A LGPD traz, como hipótese de dispensa do consentimento, o uso de dados

pessoais tornados públicos pelo titular. Por esse motivo, é importante distinguir
esse tipo de dado daqueles com acesso público (§§ 3° e 4° do artigo 7° da
LGPD).
No primeiro caso, estão os dados que o próprio titular disponibilizou para

todos, como manifestação da sua vontade, ou seja, o próprio dono dos dados
permitiu que todos tivessem conhecimento dessas informações. É o que
ocorre, por exemplo, em contas públicas de redes sociais. Como já dito, para
uso dessas informações, não será necessário o consentimento (§4° do artigo
7° da LGPD). Ressalta-se aqui que a dispensa diz respeito apenas a dados
pessoais. Assim, caso o registro se caracterize como um dado pessoal
sensível, será necessário o consentimento ou o enquadramento em hipótese
específica para seu tratamento.
Por outro lado, dados com acesso público são aqueles que, por previsão legal,
se tornaram acessíveis ou disponíveis para conhecimento de todos. É o que
ocorre, por exemplo, em relação à propriedade de um imóvel, de um protesto
público de dívida ou uma certidão de nascimento. Para uso dessas
informações, será preciso verificar a finalidade, a boa-fé e o interesse público
que fundamentaram sua disponibilização. A partir desta análise, será
necessário o consentimento do titular, caso não haja outra justificativa, dentre
as previstas nos artigos 7° e 11° da LGPD, que autorize seu uso.
Em todo caso, tanto para dados tornados públicos quanto àqueles com acesso
público, é preciso garantir os direitos do titular e cumprir os princípios e
fundamentos da LGPD (artigo 7°, §§ 3°, 4° e 7°, da LGPD).
Consentimento Presumidamente Viciado (Inexistente)
A partir dos requisitos de validade, é preciso analisar o papel do consentimento

em relações contratuais assimétricas, ou seja, em que as partes envolvidas não
têm o mesmo poder de negociação, como ocorre, por exemplo, nas relações de
consumo ou de emprego.
Nestes casos, baseando-se inclusive em orientações do GDPR (Regulamento
Europeu), há entendimentos de que o consentimento seria presumidamente
prejudicado ou inexistente, uma vez que a parte mais vulnerável nesta relação
não teria plenas condições de se opor ao consentimento, ou seja, de expressar
a sua vontade de forma livre.
Com isso, a base legal que autoriza a utilização de determinado dado pessoal
deve receber especial atenção, evitando-se a fundamentação no consentimento
sempre que houver outra mais específica, como, por exemplo, o cumprimento
de obrigação legal ou legítimo interesse do controlador, respeitados seus
requisitos específicos.
Por outro lado, a presunção de vício do consentimento pode ser afastada

quando se estiver diante de um benefício concedido ao titular dos dados, já que
neste caso, o mesmo teria condições de manifestar sua vontade plenamente.
Legítimo Interesse
O artigo 10 da LGPD determina que o legítimo interesse apenas poderá permitir
utilização de dados pessoais para finalidades legítimas, analisadas a partir de
situações concretas, dentre as quais estão:
I - apoio e promoção de atividades do controlador; e
II - proteção do exercício regular de direitos do titular ou prestação de serviços

que o beneficiem, respeitadas as legítimas expectativas dele e os direitos e
liberdades fundamentais.
O legítimo interesse é, portanto, uma das autorizações da LGPD para utilização

de dados pessoais sem consentimento do titular. Entretanto, não permite o
tratamento de dados pessoais sensíveis. Assim, recomenda-se cautela no uso
desta base legal, principalmente porque a norma não conceituou nem delimitou
sua aplicação.
Significa dizer que não é possível se fundamentar no legítimo interesse sem

que requisitos essenciais sejam observados, sendo eles:
1. Finalidades Legítimas: as finalidades para as quais os dados serão utilizados

devem, além de estar totalmente de acordo com a legislação, não guardar
nenhuma conduta antiética ou que caracterize abuso aos direitos e liberdades
fundamentais dos titulares, devendo ainda estarem diretamente relacionadas
às atividades concretas e atuais do controlador. Assim, interesses futuros e
hipotéticos não se enquadram neste requisito.
Questionamentos que auxiliam na verificação desse requisito: O propósito para
a utilização dos dados é lícito e adequado? A situação em que serão utilizados
é concreta e específica?
2. Necessidade: impõe a utilização mínima de dados, ou seja, somente

daqueles imprescindíveis para os objetivos pretendidos. Ainda que sejam úteis,
interessantes ou importantes, se não estiverem diretamente relacionados com
as finalidades, não poderão ser utilizados.
Questionamentos: apenas os dados verdadeiramente necessários para a

finalidade específica estão sendo utilizados? Há dados dispensáveis? É
possível se valer de outra base legal mais adequada para a utilização desses
dados?
3. Expectativas Legítimas e Respeito aos direitos e liberdades fundamentais: a

utilização dos dados deve atender ao que é esperado pelo seu titular em total
respeito aos seus direitos. Os dados não podem ser usados de forma invasiva
nem discriminatória.
Como exemplo, é possível citar uma empresa de telefonia móvel que tem, em
seus registros, dados pessoais dos titulares como nome, telefone, email e
endereço. Espera-se dessa controladora o fornecimento do serviço de
telefonia. Por isso, a transferência desses dados, por exemplo, a uma empresa
de internet parceira, sem consentimento para este fim, frustraria as legítimas
expectativas desses titulares, caracterizando o descumprimento deste
requisito.
Questionamentos: A expectativa do titular que justifica o uso dados está sendo

atendida? Seus direitos estão sendo respeitados?
4. Máxima transparência: deve-se garantir todos os meios para que o titular

exerça seus direitos, inclusive de se opor ao uso dos seus dados.
Questionamentos: O titular tem conhecimento de como os dados são tratados?

Controlador adota medidas de segurança para evitar vazamento ou uso
indevido?
A partir desses requisitos, é possível verificar se o legítimo interesse do

controlador ou de um terceiro para tratamento dos dados está presente.
Destaca-se que os agentes de tratamento devem manter registro das

operações de utilização de dados que realizarem, especialmente quando
baseado no legítimo interesse.
Por fim, ANPD (Autoridade Nacional de Proteção de Dados) poderá solicitar ao

controlador o RIPD (Relatório de Impacto à Proteção de Dados Pessoais),
quando o tratamento tiver como fundamento seu interesse legítimo,
observados os segredos comercial e industrial.
Compartilhamento de Dados
Conceito
Uso compartilhado de dados é conceituado pelo inciso XVI do artigo 5° da

LGPD como a comunicação, difusão, transferência internacional, interconexão
de dados pessoais ou tratamento compartilhado de bancos de dados pessoais
por órgãos e entidades públicos no cumprimento de suas competências legais,
ou entre esses e entes privados, reciprocamente, com autorização específica,
para uma ou mais modalidades de tratamento permitidas por esses entes
públicos, ou entre entes privados.
A partir dessa definição, verifica-se que a LGPD admite a transferência de

dados entre controladores, desde que observadas alguns cuidados tratados a
seguir.
Requisitos
- Conhecimento: o titular dos dados deve ser informado do compartilhamento

de seus dados e suas finalidades, mesmo quando o consentimento for
dispensado (incisos I e II do artigo 6° e inciso V do artigo 9° da LGPD);
- Consentimento específico do titular: sempre que a utilização dos dados

estiver fundamentada no consentimento, será preciso que este seja específico
também para o compartilhamento (§ 5° do artigo 7° da LGPD);
- Transparência: o controlador deve informar aos demais agentes de

tratamento com quem tenha compartilhado os dados qualquer correção,
eliminação, anonimização ou bloqueio que tenha realizado para que apliquem o
mesmo procedimento, exceto se a comunicação for impossível ou demandar
esforço desproporcional (§ 6° do artigo 18 da LGPD);
- Vedação: não é permitido o compartilhamento, entre controladores, de dados

pessoais sensíveis referentes à saúde do titular, com objetivos econômicos,
inclusive para avaliação de risco, contratação ou exclusão de beneficiários por
operadoras de planos de saúde.
Entretanto, será permitido o compartilhamento quando, em benefício do titular

dos dados, se tratar de prestação de serviços de saúde, de assistência
farmacêutica e de assistência à saúde, inclusive para permitir a portabilidade
de dados solicitada pelo titular, bem como as transações financeiras e
administrativas referentes a estes serviços (§ 4° do artigo 11 da LGPD);
- Regulamentação: cabe à ANPD regulamentar o compartilhamento de dados
quando houver objetivos econômicos envolvidos, inclusive sua vedação (§ 3°
do artigo 11 da LGPD).
Responsabilidade Solidária
Observados os requisitos legais, ao controlador é permitido compartilhar dados

pessoais com outros agentes de tratamento, sejam controladores ou
operadores que atuarão em seu nome e segundo as suas diretrizes.
Deve o controlador verificar se os agentes de tratamento, com quem haverá o

compartilhamento, estão em conformidade com as regras de proteção de
dados, principalmente porque a LGPD atribuiu responsabilidade solidária a
todos os controladores que estejam diretamente envolvidos no tratamento que
possa eventualmente causar dano ao titular.
Essa verificação pode ser aplicada através de cláusulas contratuais que

estabeleçam:
 padrões de boas práticas, governança e segurança para os dados;

 mecanismos para que os titulares exerçam seus direitos;
 definição de responsabilidades entre as partes e disponibilização de
mecanismos de auditoria;
 previsão de penalidades em caso de descumprimento;
 dever de comunicação de incidentes ocorridos;
 indicação do encarregado (DPO).
Anonimização e Pseudoanonimização
Anonimização
A LGPD conceitua anonimização como a utilização de meios técnicos

razoáveis e disponíveis no momento do tratamento, por meio dos quais um
dado perde a possibilidade de associação, direta ou indireta, a um indivíduo
(inciso XI do artigo 5° da LGPD).
Trata-se, na prática, de uma operação realizada pelo controlador nos dados

pessoais com o objetivo de tornar o seu titular não identificado. A partir dela,
alguns dados são apagados permanentemente, sem possibilidade de
recuperação, mantendo-se apenas parte das informações que não mais se
relacionam àquela determinada pessoa.
Ao prever esse procedimento, a LGPD:

- reconhece a utilidade de se guardar informações que já atingiram a sua
finalidade, mas que, de outra forma, não poderiam ser mantidas. Com isso, os
dados ainda poderão ser usados, por exemplo, para fins estatísticos, de estudo,
para aprendizagem de inteligência artificial, análises de comportamento, etc; e
- viabiliza maior segurança jurídica na manutenção dos dados, já que a partir

dele, não será mais possível identificar o indivíduo.
Entretanto, a anonimização pressupõe que:
» meios técnicos e razoáveis sejam usados no processo;
» seja incapaz de identificar uma pessoa, mesmo que indiretamente ou por

associação com outros dados; e
» seja permanente e irreversível. Assim, não deve ser possível chegar ao titular
percorrendo o caminho inverso, nem mesmo por aquele que realizou o
processo de anonimização.
Importante é que o dado anonimizado, com essas características, não é

considerado um dado pessoal e, por esse motivo, não tem proteção da LGPD
(artigo 12 da LGPD), sendo esta uma das grandes vantagens desse
procedimento.
Entretanto, caso este processo possa ser revertido, todos os dados daquele
titular, inclusive aqueles que poderiam ser considerados como anonimizados,
continuam recebendo a proteção da LGPD, uma vez que a impossibilidade de
reversão deste procedimento é uma condição imposta pela norma.
Processo de Anonimização
O procedimento para tornar o dado anonimizado, do ponto de vista técnico, não

é detalhado pela LGPD, que estabeleceu apenas alguns parâmetros que devem
ser observados neste processo, sendo eles:
- emprego de meios razoáveis: critério subjetivo que determina que o

controlador deve adotar as “medidas esperadas” para este fim; e
- utilização de meios disponíveis: critério objetivo, a partir do qual cabe ao

controlador empregar a tecnologia existente para atingir esse resultado.
Observa-se aqui que a LGPD traçou limites que devem ser adaptados ao longo
do tempo, considerando os avanços tecnológicos, as capacidades específicas
de cada controlador e todo o ciclo de utilização do dado, já que, um dado
anonimizado em determinado momento pode ser considerado identificável em
período futuro.
Caberá ainda a ANPD, além de fiscalizar, tratar também sobre regras e técnicas
que deverão ser utilizadas nesse procedimento (§ 3º do artigo 12 da LGPD).
Compartilhamento de Dados Anonimizados
Quando houver compartilhamento de dados anonimizados, as cautelas acima

devem considerar também a possibilidade dos demais agentes envolvidos
reverterem o procedimento.
Neste ponto, é recomendável a previsão de cláusulas contratuais que impeçam

a reversão do processo; que delimitem especificamente a atividade de cada
agente, inclusive restringindo ou condicionando outros compartilhamentos, até
mesmo para seus operadores; e que determinem a eliminação do dado
anonimizado, seja por decurso de tempo ou atendimento de sua finalidade.
Ilustrativamente
Dados específicos que identificam ou podem identificar determinada pessoa

são eliminados permanentemente (sem possibilidade de recuperação),
mantendo-se apenas aqueles genéricos e impessoais: (substituir tabela)
Dados Pessoais Identificados Processo de Anonimização

Identidade: 123456-7 Identidade: 123456-7
CPF: 123.456.789-10 CPF: 123.456.789-10
Escolaridade: nível médio Escolaridade: nível médio
Profissão: empresário Profissão: empresário
Cardiopatia: não Cardiopatia: não
Tipo sanguíneo: A+ Tipo sanguíneo: A+
Exame Covid-19: Negativo Exame Covid-19: Negativo
Pseudoanonimização
É o tratamento por meio do qual um dado perde a possibilidade de associação,

direta ou indireta, a um indivíduo, senão pelo uso de informação adicional
mantida separadamente pelo controlador em ambiente controlado e seguro (§
4º do artigo 13 da LGPD).
Neste procedimento, não há a eliminação de parte das informações, mas sim

sua separação em bancos de dados distintos. Com isso, o processo pode ser
revertido com o seu reagrupamento.
Destaca-se que o dado pseudoanimizado continua protegido pela LGPD, sobre

o qual devem ser aplicadas suas regras de proteção.
Vantagens
Na prática, a pseudoanimização pode ser inserida nas condutas de boas
práticas dos agentes de tratamento, na medida em que:
- minimiza ou inviabiliza os riscos de vazamento ou uso indevido de dados

internamente, uma vez que o acesso completo aos mesmos pode ser mais
restrito; e
- dificulta a reversão do procedimento por terceiros estranhos ao tratamento

dos dados.
Ilustrativamente
Dados específicos que identificam ou podem identificar determinada pessoa

são separados, mantendo-se as informações em bancos distintos: (substituir
tabela)
Dados Pessoais Identificados Resultado da Pseudoanonim

Identidade: 123456-7 Banco de Dados 1
CPF: 123.456.789-10
Identidade: 123456-7
Escolaridade: nível médio
Profissão: empresário
CPF: 123.456.789-10
Cardiopatia: não
Tipo sanguíneo: A+ Escolaridade: nível médio
Ex
Exame Covid-19: Negativo Profissão: empresário

Para a LGPD, a transferência de dados pessoais para país estrangeiro ou
organismo internacional do qual o Brasil seja membro é considerada como
transferência internacional de dados (inciso XV do artigo 15 da LGPD).
Significa dizer que, quando um dado de uma pessoa física é, de alguma forma,
levado para o exterior, é preciso ficar atento à LGPD.
Destaca-se que esse fluxo de informações pessoais é uma prática frequente no

cotidiano de muitas empresas e empreendedores, como ocorre, por exemplo,
na contratação de fornecedores, prestadores de serviços ou ferramentas de
empresas estrangeiras para armazenamento de registros em nuvem,
aplicativos de videoconferência, gerenciamento de bancos de dados e
hospedagem de e-mails, dentre outros que, atualmente, recebem inúmeros
dados de empregados, clientes e consumidores.
Com o objetivo de proteger os dados também nessas situações, a LGPD
condicionou a transferência internacional às seguintes hipóteses taxativas
(artigos 33 ao 36 da LGPD):
A Transferência Será Permitida
Esta autoriz
Para países ou organismos internacionais que proporcionem grau de proteção de dados
estabelecer
pessoais adequado ao previsto nesta Lei
LGPD)
Quando o controlador oferecer e comprovar garantias de cumprimento dos princípios, dos

direitos do titular e do regime de proteção, na forma de:
a) cláusulas contratuais específicas para determinada transferência;

Esta autoriz
b) cláusulas-padrão contratuais; conteúdo de
c) normas corporativas globais;
d) selos, certificados e códigos de conduta regularmente emitidos
Quando a transferência for necessária para a cooperação jurídica internacional entre órgãos
públicos de inteligência, de investigação e de persecução, de acordo com os instrumentos de
Aplicação i
direito internacional
à integridad
Quando a transferência for necessária para a proteção da vida ou da incolumidade física do
titular, ou de terceiro
Quando não
Quando a autoridade nacional autorizar a transferência
possível sol
Quando a transferência resultar em compromisso assumido em acordo de cooperação

Aplicação im
internacional
Quando a transferência for necessária para a execução de política pública ou atribuição legal
Aplicação im
do serviço público
Aplicação i
Quando o titular tiver fornecido o seu consentimento específico e em destaque para a
ser informa
transferência, com informação prévia sobre o caráter internacional da operação, distinguindo
internaciona
claramente esta de outras finalidades
6° da LGPD
Quando necessário para atender as hipóteses previstas nos incisos II, V e VI do artigo 7º da Aplicação im
LGPD cumpriment
procedimen
judicial, adm
internaciona
Destaca-se q
é preciso bu
Enquadrando-se em uma das hipóteses que autorizam a transferência

internacional dos dados, na sequência, será preciso adequar os contratos
firmados para atender às demais regras previstas pela norma, como garantir os
direitos dos titulares, informar as finalidades atingidas neste tratamento,
buscar o consentimento ou dar ciência, conforme o caso, e assegurar as
medidas de segurança no uso dos dados.
Criança e Adolescente
A LGPD estabelece, no artigo 14 e seus parágrafos, os cuidados que devem ser
tomados quando houver dados pessoais de crianças e adolescentes.
A proteção neste artigo é dirigida especificamente para as pessoas até 12 anos

incompletos, no caso das crianças, e às que estiverem entre 12 e 18 anos de
idade, para os adolescentes (artigo 2° da Lei n° 8.069/90 – Estatuto da Criança
e do Adolescente).
A primeira observação importante é que a norma traz alguns pontos de fácil

aplicação e outros em que caberá a ANPD melhor esclarecer ou até mesmo
regulamentar. Em todo caso, porém, são regras que devem ser observadas de
imediato, independentemente dessas dificuldades.
Análise ponto a ponto:
1- Melhor interesse do menor (artigo 14 da LGPD)
O uso dos dados deve sempre considerar o melhor interesse da criança e do

adolescente. O critério é subjeito e deve ser analisado caso a caso. Significa
que, desde a coleta até a sua eliminação, toda estrutura de utilização dos
dados deve atender às necessidades e capacidades desses titulares,
considerados como pessoas em desenvolvimento. Esse interesse deve se
sobrepor a outros bens ou direitos protegidos, inclusive a interesses
comerciais.
2- Necessidade de Consentimento (§§ 1°, 3° e 5° do artigo 14 da LGPD)
O consentimento específico e em destaque de um dos pais ou responsáveis é

necessário para que dados pessoais de crianças possam ser utilizados. É dever
do controlador aplicar todos os esforços, considerando as tecnologias
disponíveis, para verificar a identidade do fornecedor do consentimento.
Não será exigido o consentimento, entretanto, quando a coleta dos dados for
necessária justamente para se entrar em contato com os pais ou responsável,
desde que esses dados sejam utilizados uma única vez, ou ainda para a
proteção da criança, sendo que, em nenhum caso, os dados poderão ser
repassados ou compartilhados sem consentimento específico dos pais ou
responsáveis.
Destaca-se aqui a exclusão desta obrigação para o tratamentno de dados de

adolescentes. Pela interpretação literal da norma, o consentimento será
condição essencial apenas quando o titular for uma criança. No caso dos
adolescentes, seriam aplicadas as mesmas regras para tratamento de dados
de adultos. Entretanto, recomenda-se cautela neste entendimento, visto que a
própria norma impõe como dever do controlador atender o melhor interesse
inclusive dos adolescentes. Com isso, a coleta de dados desses titulares sem a
participação dos responsáveis pode ser questionada. Caberá regulamentação
pela ANPD.
Outro ponto relevante é que a norma estabelece que o controlador deve

verificar se o consentimento foi de fato fornecido por um dos pais ou
responsáveis, sem estabelecer mecanismos ou parâmetros para essa
confirmação.
Quando os dados são coletados presencialmente, a dificuldade fica superada.

Entretanto, quando se estiver diante de plataformas digitais, a falta de previsão
legal fragiliza sua aplicação.
Espera-se que a ANPD defina métodos ou requisitos para cumprimento dessa

obrigação. Entretanto, como a norma se encontra em vigor, é dever do
controlador já, neste momento, adotar as medidas necessárias, a partir das
tecnologias disponíveis, em busca dessa verificação. É possível citar, a título de
exemplos, inspirando-se em regulamentações estrangeiras, os seguintes
mecanismos:
- preenchimento de formulário pelos pais, enviado por email e devolvido ao

controlador/operador;
- implantação de métodos de notificação dos pais, via sms ou whatsapp; ou
- disponibilizar número de telefone gratuito para que o responsável possa dar o

consentimento.
Em todo caso, a LGPD prevê que não se deve solicitar dados que não sejam
estritamente necessários, com isso, aqueles que são apenas importantes, úteis
ou interessantes devem ser dispensados, inclusive para crianças e
adolescentes (inciso III do artigo 6° da LGPD).
3- Dever dos Agentes de Tratamento
Além do que já foi exposto anteriormente, o controlador:
- deve apresentar as informações sempre de forma simples, clara e acessível,

com linguagens apropriadas para cada faixa etária, utilizando, inclusive
recursos audiovisuais quando adequados, para garantir que pais, responsáveis
e a própria criança ou adolescente (titulares) compreendam com facilidade os
motivos e finalidades do uso dos dados (§ 6° do artigo 14 da LGPD);
- deve manter públicas as informações sobre os tipos de dados e a forma de

sua utilização, e ainda como poderão ser exercidos todos os direitos dos
titulares (§ 2° do artigo 14 da LGPD);
- não deve condicionar a participação das crianças em jogos, aplicativos ou

outras atividades ao fornecimento de informações que não sejam realmente
necessárias (§ 4° do artigo 14 da LGPD).
Término do Tratamento
Com a LGPD, empresas e empreendedores não podem mais ter os dados
pessoais à sua disposição indefinidamente, principalmente pelos riscos de
vazamentos ou uso indevido. Por este motivo, a norma traz princípios e regras
que limitam o seu uso indiscriminado.
Entende-se, assim, que os dados pessoais apenas podem ser mantidos

enquanto houver autorização ou justificativa específica para esse fim. Com
isso, para estar em conformidade com a proteção dos dados, os agentes de
tratamento devem ter conhecimento e controle do momento em que o uso ou
manutenção dos mesmos deve ser encerrado e ainda quando devem ser
eliminados.
A norma define, no artigo 15, as situações em que ocorre o término do

tratamento dos dados e, no artigo 16, as hipóteses que autorizam a sua
manutenção após essa etapa. Aqui, a LGPD reconhece que, em alguns casos,
ainda é preciso guardá-los por um período.
Segundo o artigo 15 da LGPD, o término do tratamento dos dados pessoais

ocorrerá quando:
1. A finalidade for totalmente alcançada ou ainda quando os dados se tornarem
desnecessários para atingir as finalidades apontadas.
Em razão dos princípios da adequação, da necessidade e da finalidade,

segundo os quais os dados apenas podem ser coletados ou usados enquanto
forem estritamente indispensáveis para atingir objetivos específicos, uma vez
cumpridos, o tratamento deve ser encerrado.
Cita-se como exemplo uma compra realizada por um consumidor. Após a

conclusão da venda, com entrega do produto ou serviço e cumpridas as
obrigações acessórias, as operações que justificam o uso dos dados foram
todas atendidas, levando ao encerramento das operações de tratamento.
2. Quando atingido o fim do período previsto para o tratamento.
Havendo um tempo determinado para que os dados sejam utilizados, quando

expirado esse prazo, o tratamento deve ser encerrado. Ocorre quando, para o
consentimento do titular, é informado o prazo de duração do tratamento. Caso
a finalidade não tenha sido atendida antes do fim desse prazo, com o seu
esgotamento, o tratamento deverá ser cessado, a não ser que seja solicitado
novo consentimento.
Hipótese prática é aquela em que o candidato à vaga de emprego envia seu

currículo a uma empresa, ajustando-se o período em que este será mantido em
banco de dados. Como a finalidade dessas informações é ter registro das
qualificações de um candidato, passado um tempo, o trabalhador pode ter
adquirido novas experiências ou aptidões, ou ainda, a oportunidade pode
passar a demandar novas atribuições, fazendo com que aqueles dados se
tornem desatualizados. Por este motivo, para a manutenção dessas
informações, é necessário estabelecer uma data final, sendo que, expirado esse
prazo, as mesmas devem ser descartadas.
3. Por solicitação do titular, inclusive no caso de revogação do consentimento,

resguardado o interesse público.
Quando o uso dos dados estiver fundamentado no consentimento do titular,

esse pode solicitar tanto a sua revogação quanto a eliminação desses dados a
qualquer tempo, sendo dever do controlador disponibilizar procedimento
facilitado e sem qualquer custo para o exercício desse direito, o qual se
encontra previsto também no § 5° do artigo 8° e nos incisos VI e IX do artigo 18
da LGPD. Assim, se o controlador quiser manter o tratamento, deverá receber
do titular um novo consentimento específico.
Quando o tratamento dos dados se fundamentar em outra causa que não o

consentimento, a solicitação do titular para o seu encerramento poderá não ser
atendida, a depender da análise de cada caso, ou seja, se os requisitos para a
continuidade do tratamento estiverem presentes e baseados nos artigos 7° ou
11 da LGPD. É o que ocorre, por exemplo, quando há obrigações contratuais ou
legais ainda em curso.
Há ainda uma ressalva feita pela lei em resguardar o interesse público,

entretanto, sem definir ou estabelecer requisitos para que a solicitação do
titular não seja atendida em razão de outro interesse preponderante.
Neste ponto, diante da falta de regulamentação e subjetividade da terminologia

aplicada, cabe primeiro lembrar que interesse público é aquele que, em linhas
gerais, prioriza o benefício da coletividade, visa assegurar os direitos e
princípios fundamentais e que, via de regra, é garantido através de ações da
administração pública. Por esse motivo, fundamentar-se em interesse público,
para não encerrar o tratamento de um dado pessoal, é uma conduta, a princípio,
pendente de regulamentação, sendo recomendável cautela.
4. Por determinação da ANPD, quando houver violação à LGPD.
Este dispositivo se encontra vigente e reforça a importância de estar em

conformidade com a LGPD, visto que seu descumprimento pode gerar
consequências capazes de dificultar ou até mesmo impedir o exercício da
atividade.
A hipótese encontra-se também prevista no artigo 52, incisos VI e XII da norma,

como penalidade aplicável pela Autoridade Nacional.
Conservação Após o Término do Tratamento
Como regra geral, os dados pessoais devem ser eliminados de forma segura
quando não se justificar mais o seu tratamento. É o que dispõe a parte inicial
do artigo 16 da LGPD.
Entretanto, existem exceções em que será permitido mantê-los, por um período,

mesmo após o término do tratamento, caso sejam atendidos alguns requisitos:
► A LGPD deve ser integralmente cumprida quanto aos deveres dos agentes
de tratamento e direitos dos titulares também neste período;
► Somente poderão ser mantidos especificamente os dados que se

enquadrem nas hipóteses permitidas pela LGPD, sendo estas:
1. Cumprimento de obrigação legal ou regulatória pelo controlador.
O objetivo é viabilizar a:
- defesa em processo judicial, administrativo ou arbitral, durante o seu prazo

prescricional; e
- apresentação de documentos em caso de fiscalização no período previsto
para sua guarda.
Assim, para manter os dados após o término do seu tratamento, os agentes

envolvidos devem ter conhecimento das demais normas que se relacionam
com a sua atividade, para que estejam cientes dos prazos e dos dados que
devem ser mantidos.
Sobre a prescrição, é preciso ainda ter atenção a casos específicos em que seu
prazo estará impedido ou suspenso de correr, já que isso altera a sua
contagem e, consequentemente, o período em que os dados serão mantidos
após o tratamento. Cita-se, por exemplo:
- Artigo 440 da CLT aplicado às relações trabalhistas, que dispõe que contra os
menores de 18 anos não corre nenhum prazo de prescrição; e
- Artigo 198 do Código Civil (Lei 10.406/2002), o qual determina que também
não corre prescrição contra os menores de 16 anos, os ausentes do país em
serviço público da União, dos Estados ou dos Municípios e os que se acharem
servindo nas Forças Armadas, em tempo de guerra.
2. Estudo por órgão de pesquisa, garantida, sempre que possível, a

anonimização dos dados pessoais.
3. Transferência a terceiro, desde que respeitados os requisitos de tratamento

de dados dispostos nesta Lei.
Neste caso, os dados podem ser transferidos, desde que:
- para garantir o direito à portabilidade, ou seja, à transferência dos dados de

um controlador para outro, mediante solicitação do titular e para atender seus
interesses, cabendo à ANPD regulamentar os padrões para viabilizar essa
transferência (artigo 40 da LGPD); ou
- esta operação esteja fundamentada em uma das bases legais previstas no

artigo 7° ou 11 da LGPD, cabendo a análise, para cada hipótese de
transferência, se o dado tratado é pessoal ou pessoal sensível.
4. Uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que
anonimizados os dados.
A LGPD tem, dentre os seus fundamentos, o desenvolvimento tecnológico, a

inovação, a livre iniciativa e a livre concorrência, o que justifica a manutenção
dos dados mesmo após o término do tratamento, ou seja, mesmo quando não
houver qualquer razão prevista nos artigos 7° ou 11.
Isso porque, ao reconhecer o potencial econômico dos dados e o
desenvolvimento tecnológico e de mercado que ocorrem em função dessas
informações, o objetivo da norma é, ao mesmo tempo, não impedir esses
avanços, porém protegendo os dados pessoais.
Com isso, essa hipótese fica adstrita à observância de três requisitos:
- para uso exclusivo do controlador;
- proibido o acesso, compartilhamento ou transferência a terceiros, sob

qualquer justificativa; e
- desde que os dados tenham sido anonimizados.
Conceito
Diante de toda proteção imposta pela LGPD, para se verificar quais condutas
devem ser adotadas para sua correta implantação, o primeiro passo é o
mapeamento dos dados utilizados pelos agentes de tratamento.
Assim, mapear os dados, em linhas gerais, significa identificá-los, bem como

seus titulares e finalidades, para assim traçar todos os processos e fluxos que
lidam com dados pessoais, verificando, inclusive, as bases legais que
autorizam sua utilização e as medidas de segurança que estão sendo
aplicadas.
Objetivos
Com o mapeamento, se torna possível identificar como os dados caminham no
empreendimento, viabilizando alguns objetivos, dentre os quais, destacam-se:
- Permitir a privacidade dos dados e garantir a conformidade com a LGPD;
- Cumprimento do artigo 37 da LGPD, o qual determina que o controlador e

operador devem manter registros das operações de tratamento de dados
pessoais que realizarem, especialmente quando estiver fundamentado no
legítimo interesse;
- Com este documento, será possível desenvolver:
- Relatório de Impacto de Proteção de Dados (RIPD);
- Relatório de Riscos, evitando-se vazamentos ou uso indevido; e
- Padrões de boas práticas e de governança.

A partir da LGPD, portanto, ter conhecimento, controle e cuidado com os dados
passou a ser uma obrigação de todos os agentes de tratamento em busca de
uma proteção eficiente e adequada.
Procedimentos
Para realizar o mapeamento, é necessário o envolvimento de todos os setores
que, de alguma forma, lidam com dados pessoais, incluindo uma análise
jurídica e técnica para identificação das possíveis vulnerabilidades.
Destaca-se que a LGPD não estabelece requisitos ou mesmo parâmetros a

serem seguidos nesse processo. Portanto, o procedimento deve ser
estabelecido a partir da realidade de cada empreendimento, considerando a
sua complexidade e os deveres impostos pela norma.
Por esse motivo, para o mapeamento dos dados, recomenda-se o seguinte

roteiro.
- Natureza dos Dados: classificar a natureza dos dados e sua finalidade,

Identificar seus titulares e a base legal que autoriza sua utilização;
- Processos: definir os processos que utilizam dados pessoais, como se
iniciam, pontuando os tratamentos necessários e eliminando os dispensáveis.
Solicitar consentimento, conforme o caso, ou ciência do titular para os
procedimentos que serão realizados. Ajustar cláusulas contratuais, inclusive
para o caso de compartilhamento ou transferência internacional;
- Agentes de Tratamento: estabelecer os agentes de tratamentos envolvidos,
verificando a necessidade de compartilhamento ou transferência intermacional,
inclusive quanto aos locais de armazenamento dos dados;
- Ciclo de Vida: identificar o tempo de tratamento e armazenamento, até a
completa eliminação;
- Medidas de Segurança: adotar as medidas de segurança técnica e
organizacional, incluindo o o descarte seguro dos dados.
Em todas as etapas do mapeamento, é preciso verificar se os direitos dos

titulares estão sendo observados, dentre os quais, destacam-se:
► direito de exigir o cumprimento LGPD, ainda que o consentimento seja

dispensado (artigo 7°, § 6°);
► direito de requerer:
- a nulidade das autorizações concedidas de forma genérica (artigo 8°, § 4°) e

do consentimento quando houver conteúdo enganoso, abusivo ou não tenham
sido apresentadas com transparência, de forma clara e inequívoca (artigo 9°, §
1°);
- a revogação do consentimento a qualquer tempo, por procedimento gratuito e
facilitado (artigo 8°, § 5°) ou caso discorde das alterações quanto ao
tratamento de dados, seja em relação à finalidade, forma e duração, alteração
do controlador ou compartilhamento (artigo 8°, § 6° e artigo 9°, § 2°);
► direito de acesso facilitado ao tratamento de dados, com informações claras

e adequadas acerca da: finalidade específica do tratamento; forma e duração
do tratamento (observados os segredos comercial e industrial); identificação e
contato do controlador; informações acerca do uso compartilhado dos seus
dados; finalidade, responsabilidades dos agentes (artigo 9°);
► direito de ser informado, com destaque, sempre que o uso dos dados
pessoais for condição para fornecimento de produto ou serviço, ou, ainda, para
o exercício de direito (artigo 9°, § 3°);
► direito de que o uso dos dados pessoais com acesso público esteja limitado
à finalidade, à boa-fé e ao interesse público que justificaram sua
disponibilização (artigo 7°, § 3°);
► direito de condicionar o compartilhamento de dados fornecido por

consentimento a novo e específico consentimento. Quando o tratamento é
embasado nas hipóteses de dispensa de consentimento original, o
compartilhamento demandará uma nova justificativa de tratamento (artigo 7°, §
5°).
Natureza dos Dados

Dados
Nesta etapa, é preciso identificar quais dados são de fato necessários,

classificando-os entre dados pessoais e dados pessoais sensíveis.
Cabe lembrar que todas as informações que identificam ou que podem vir a
identificar uma pessoa são consideradas dados pessoais e aquelas capazes de
gerar discriminação contra o seu titular caracterizam-se como dados pessoais
sensíveis.
Já os dados necessários são aqueles imprescindíveis para que o controlador,

por exemplo, ofereça o produto, preste o serviço, cumpra o contrato ou uma
obrigação legal - enfim, são aqueles essenciais para atender a uma finalidade
específica.
Finalidade
Uma das bases para o cumprimento da LGPD, sobre a qual cabem duas
análises fundamentais:
- não é possível realizar qualquer operação em dados sem especificar a sua
finalidade. Por isso, nesta etapa, deve-se verificar se há finalidade específica
para cada dado utilizado;
- a depender da sua delimitação, alguns dados podem ser classificados ora

como pessoais, ora como pessoais sensíveis.
Como exemplo, é possível citar a solicitação do endereço residencial do titular.
Quando esta informação é utilizada em um cadastro para envio de um produto,

trata-se de um dado pessoal, justificado pelo cumprimento de um contrato de
compra e venda.
O mesmo dado quando solicitado a um candidato à vaga de emprego pode

configurar-se como um dado pessoal sensível, já que esta informação pode
levar a não contratação do candidato apenas pelo fato de residir em local
distante do empregador, em razão do maior custo de vale-transporte. A
finalidade do dado não autorizaria, portanto, sua solicitação neste momento.
Titular dos Dados
O controlador deve determinar de quais titulares os dados se referem.
Isto porque, em se tratando de dados de criança ou adolescente, os

procedimentos seguintes devem sempre priorizar o melhor interesse do menor
em detrimento de interesses próprios, adotar linguagens e informações
compreensíveis por esses titulares e aplicar critérios ainda mais seletivos
quanto à essencialidade do que estará sendo solicitado.
Ainda em relação aos titulares, sua identificação também reflete na definição

da base legal que justificará a utilização dos dados, já que informações de
crianças, via de regra, precisam do consentimento de um responsável legal.
Neste passo, cabe definir se o titular é um cliente, consumidor, prestador de

serviço, empregado ou fornecedor, por exemplo.
Base Legal
É o fundamento que autoriza a utilização dos dados. Seu enquadramento

justificará as condutas dos agentes de tratamento.
Nesse ponto, é preciso relacionar o dado, seu titular e a razão pela qual está
sendo utilizado com as hipóteses previstas no artigo 7° (para dados pessoais),
no artigo 11 (para dados pessoais sensíveis) ou no artigo 14 (para dados de
crianças e adolescentes) da LGPD.
Assim, as operações realizadas nos dados poderão ter como base, por
exemplo, a depender de cada caso, um contrato, obrigação legal, legítimo
interesse, consentimento, proteção da vida, integridade física ou saúde do
titular, proteção ao crédito ou prevenção à fraude.
Checklist
Questionamentos para auxílio nesta etapa:
1- Há dados de pessoas físicas sendo utilizados?
Analisar todos os dados que o controlador recebe, tem armazenado ou tem

acesso, como de clientes, consumidores, fornecedores, prestadores de
serviços e de empregados.
2- Quais dados?
Listar especificamente todos os dados que se referem ou fazem algum tipo de

referência a uma pessoa.
Por exemplo: nome, CPF, identidade, biometria (incluindo imagens e digitais),

endereço, data de nascimento, telefone, email, perfil de rede social, gênero,
etnia, orientação sexual, número do PIS, profissão, nacionalidade, filiação,
nome, data de nascimento e identidade de filhos, estado civil, dados bancários,
tipo sanguíneo, alergias, uso de medicamentos ou tratamento de saúde em
andamento, histórico de cirurgias realizadas, opinião política, filiação sindical,
convicção religiosa, histórico de compras ou de pesquisas realizadas online,
dentre outros.
3- Especificar as finalidades do uso de cada dado.
Relacionar, para cada dado, os objetivos que serão alcançados e o que será
feito com ele.
A finalidade não pode ser genérica, como: pesquisa de mercado,

desenvolvimento ou melhoria de produto, serviço ou sistema.
Deve ser pontual, especificando a necessidade do dado coletado para aquele

fim. É preciso cumprir os princípio da necessidade, adequação e finalidade, ou
seja, ao se verificar que não há uma finalidade que justifique o uso do dado, o
mesmo não pode ser solicitado ou mantido. Deve ser coletado desde que
estritamente necessário.
Com isso, dados meramente interessantes, importantes ou úteis devem ser

descartados se não houver uma finalidade que os autorizem.
4- Categorizar os dados.
Organizar os dados por tipos: pessoal, pessoal sensível ou de criança e
adolescente.
5- Enquadramento da base legal.
Verificar qual hipótese dos artigos 7º, 11 e 14 da LGPD autoriza o uso de cada
dado. É preciso lembrar que o mesmo dado pode ter, em momentos diferentes,
finalidades distintas. Por este motivo, para cada finalidade, é preciso o
enquadramento da base legal.
Por exemplo: a foto do empregado pode ser solicitada, após a contratação,

justificada para identificação em crachá, viabilizando o acesso às
dependências do empregador. Base legal: cumprimento de contrato (inciso V
do artigo 7° da LGPD). A mesma imagem pode ser utilizada para controle de
ponto, quando este é feito por biometria facial. Base legal: cumprimento de
obrigação legal prevista no artigo 74, § 2°, da CLT (inciso II do artigo 7º da
LGPD).
Processos
Processos
Nesta etapa do mapeamento, cabe detalhar quais são os processos internos e

departamentos que utilizam dados pessoais, já que, em muitos casos, as
informações podem transitar por diversos setores da empresa e todos eles
devem ser relacionados.
Inclusive, deve-se analisar como ocorre o início do tratamento dos dados (por
coleta, acesso, compartilhamento, transferência, etc.), visto que, a partir dele,
será necessário observar se a conduta, que autoriza o uso dos dados, foi
efetivamente adotada. Significa dizer que se, anteriormente, o enquadramento
da base legal foi identificado, aqui deve-se verificar se ela está aplicada.
Por exemplo: se o uso do dado ocorreu em razão de um compartilhamento, o

início do seu processo ocorreu a partir das informações prestadas por outro
controlador. Neste caso, o contrato entre as partes é a base legal que autoriza
esse tratamento, o qual deve, de forma expressa e destacada, prever essa
operação e finalidade.
Operações de Tratamento
Deve-se listar:
- todos os tipos de operações realizadas nos dados, como coleta,

armazenamento, classificação, compartilhamento, produção, etc;
- quantidade de dados tratados;

- modo (online ou pessoalmente) e a frequência com que ocorrem os
tratamentos (diária, semanal, mensal).
Isto porque quanto maior o volume e a frequência em que há necessidade de

tratamento, maior poderá ser o número de pessoas envolvidas e, com isso,
maior também devem ser as condutas de controle e prevenção.
Além disso, diante dessas informações, cabe também determinar se algumas

condutas podem ser dispensadas, já que, não só dados desnecessários devem
ser eliminados, como também operações de tratamento.
Autorização
O § 2° do artigo 42 da LGPD estabelece que, em um processo judicial, o juiz

poderá determinar que cabe aos agentes de tratamento a responsabilidade de
provar o cumprimento à norma. É imprescindível, portanto, ter documentadas
as condutas de conformidade adotadas.
Nesta etapa do mapeamento, devem ser verificados se:
- há consentimento do titular dos dados, a depender do caso, de forma

específica e destacada;
- é preciso ajustar cláusulas contratuais; ou
- foi dada ciência acerca dos tratamentos realizados nos dados.
Em relação ao tratamento de dados iniciados antes da vigência da LGPD, deve

ser estabelecida a forma como as medidas acima serão implantadas, inclusive
para os casos de compartilhamento e transferência internacional.
Quando o tratamento dos dados estiver fundamentado no legítimo interesse,

lembrar que não se trata de um conceito subjetivo, devendo o controlador se
certificar de que os requisitos mínimos necessários que legitimam o interesse
foram atendidos e ainda que esta base legal não autoriza o uso de dados
pessoais sensíveis.
Fluxo
Com as informações acima, é importante organizar um fluxograma de todo o

percurso seguido pelos dados em cada processo e setor da empresa.
A partir dele, poderão ser apontadas as vulnerabilidades, os riscos e quais

medidas preventivas devem ser implementadas.
Checklist
1. Quais setores lidam com dados pessoais?
Avaliar se há dados pessoais em todos os setores da empresa, como recursos

humanos, marketing, comercial, financeiro, etc.
2. Quais processos são necessários?
Relacionar, em cada setor, os processos que utilizam dados pessoais.
3. Especificar como ocorre o início do tratamento.
Listar a origem da coleta dos dados, verificando se está autorizada pela norma
e corretamente aplicada.
Exemplo: os dados são fornecidos diretamente pelo titular, seja fisicamente ou

por equipamento digital (site, app, SAC)? O titular tem conhecimento de que
está fornecendo esses dados? Ou ainda, são fornecidos por terceiros? As
respostas devem estar respaldadas por condutas permitidas pela LGPD.
4. Descrever o fluxo percorrido pelos dados
Especificar todas as operações de tratamento realizadas, desde o seu início,

abrangendo todo o caminho em que os dados são utilizados, relacionando
inclusive a quantidade de dados, o modo e a frequência com que ocorrem.
Nesta fase, caso seja observado um tratamento desnecessário, essa prática

não deve ser mantida.
Por exemplo: processo percorrido pelos dados no setor de recrutamento e

seleção de empregados.
1°) Início do tratamento: coleta ou recebimento dos dados para verificação das
qualificações do candidato. É realizado por meio físico ou digital? Apenas
dados estritamente necessários foram solicitados ou recebidos? Dados
desnecessários foram não recepcionados ou descartados? Há consentimento
para coleta desses dados?
2°) Classificação dos dados. A organização dos currículos se caracteriza como

uma operação de tratamento e deve fazer parte do fluxograma.
3°) Armazenamento ou descarte dos dados.
Armazenamento: por qual período e de que forma as informações serão

mantidas em banco de dados? Como é realizado o controle desse período? Há
ciência ou consentimento do titular específicos para esse fim?
Descarte: foi dado conhecimento ao titular? A eliminação foi feita de forma
segura?
5. Há documentos que demonstram o enquadramento e cumprimento da base

legal que autoriza o uso dos dados?
Lembrar que se a base legal legitimadora for o consentimento, este deve ser
específico, destacado de outras cláusulas e refletir, de fato, a vontade do titular
dos dados.
É preciso identificar as pessoas envolvidas nas operações realizadas nos

dados, verificando-se, inclusive, a necessidade de compartilhamento de dados,
seja com outros controladores ou operadores, ou ainda se há transferência
internacional dos dados.
Deve-se, com isso:
- definir funções e atribuições de cada pessoa;
- ajustar os contratos, seja de trabalho, prestador de serviço ou empresa

terceirizada, para constar o respeito à LGPD e as responsabilidades das partes;
e
- dar treinamento e orientações para conscientização das condutas

obrigatórias para a proteção dos dados.
É importante ainda certificar-se de que, nos casos de compartilhamento ou

transferência internacional, as finalidades e a base legal que autorizam o uso
dos dados continuam sendo observadas.
Checklist
1. Quais são as pessoas com acesso aos dados? Apenas coordenadores ou

gestores? Todos os empregados do setor?
É preciso listar todos os que participam do fluxo dos dados, para se verificar a
necessidade de aditivo contratual e ainda a possibilidade de redução do
número de pessoas envolvidas.
2. Os envolvidos têm conhecimento de suas funções e responsabilidades

quando lidam com dados de pessoas físicas? Foi realizado algum tipo de
treinamento, capacitação ou orientação acerca dos novos parâmetros em
proteção de dados estabelecidos pela LGPD?
3. A empresa realiza compartilhamento de dados com outras empresas? Na

contratação de outras empresas, há dados de pessoas físicas sendo
transferidos? São transferidos apenas dados estritamente necessários para
atender às finalidades a que se destinam?
Caso afirmativo, é preciso relacionar quais são essas empresas, porque motivo
há o compartilhamento, a base legal que o autoriza e se há consentimento ou
ciência do titular dos dados. Verificar, inclusive, a necessidade de pactuar
aditivo contratual para constar o cumprimento à LGPD.
Exemplos de compartilhamento: empresas do mesmo grupo econômico,

escritórios de contabilidade que fazem as informações dos trabalhadores de
outros empregadores, emissores de nota fiscal eletrônica (confirmar
André), empresas de callcenter que contactam consumidores para venda de
produtos ou serviços, e-commerce em território nacional.
4. Quais as áreas geográficas em que a empresa realiza tratamento de dados?

Há tratamento realizado fora do Brasil?
Caso a resposta seja positiva e haja transferência internacional de dados de

pessoas físicas, é preciso relacionar os países, verificar se a base legal
aplicada autoriza esse procedimento, se é necessário ajustar cláusulas
contratuais e ainda informar ou coletar o consentimento, se for o caso, do
titular dos dados sobre essa necessidade.
Exemplos de transações em que pode haver transferência internacional de

dados pessoais: armazenamento em nuvem, uso de data center, uso de
aplicativos ou ferramentas, fornecedores de produtos (dropshipping e e-
commerce), todos estrangeiros.
Ciclo de Vida
Ciclo de Vida
Anteriormente à LGPD, os dados eram mantidos pelos controladores por

período indeterminado. Com a nova sistemática de proteção, se não houver
justificativa para sua manutenção, os mesmos devem ser eliminados ao final
do tratamento, sendo admitida apenas a sua anonimização.
Em etapa anterior, o caminho pelo qual o dado percorre na empresa já foi

traçado. Cabe agora determinar o tempo de cada fase, até a sua completa
eliminação.
Via de regra, é possível verificar os seguintes estágios:

► Coleta: momento em que os dados são recebidos pelos agentes de
tratamento. Não é possível receber ou solicitar dados se não houver
necessidade e uma finalidade que o autorize;
► Uso: período em que os dados são utilizados pelos agentes de tratamento.

Somente se justifica se houver uma base legal que legitime todo o tempo em
que serão usados os dados;
► Compartilhamento ou Transferência: nesses casos, os parceiros que

recebem as informações também devem observar, além das demais regras de
proteção, o período estritamente necessário ou permitido para usá-los e mantê-
los. Antes da LGPD, essas condutas eram adotadas sem qualquer controle de
segurança ou prazo;
► Armazenamento: os prazos aqui devem atender especificamente aqueles

previstos em contrato ou em lei, seja para cumprir um dever regulatório ou de
fiscalização, ou ainda para sua defesa judicial, administrativa ou arbitral. É
importante conhecer tanto os prazos prescricionais quanto os de guarda
obrigatória de documentos previstos em legislação específica;
► Descarte: atendidas as finalidades do uso dos dados e superados os prazos

de armazenamento, com a LGPD, não é mais permitido manter dados pessoais,
a não ser quando anonimizados. Assim, ao final do ciclo, os agentes de
tratamento devem garantir o descarte seguro dos dados, sejam eles digitais ou
físicos.
Checklist
1. Qual período em que os dados serão usados pelos agentes de tratamento?
É preciso registrar e controlar esses períodos.
2. Quais as legislações aplicadas aos dados que são utilizados?
Relacionar qual o fundamento legal para que o dado possa ser armazenamento
após o cumprimento da sua finalidade. Por este motivo, deve-se ter
conhecimento de toda legislação aplicada ao negócio (sejam trabalhistas,
relacionadas a obrigações acessórias, de direito do consumidor, etc.).
3. Quais prazos de guarda dos documentos essas normas impõem?
Especificar e controlar exatamente esse período, já que os mesmos não

poderão ser mantidos após terem atingido seu termo final.
4. Quais prazos prescricionais estão previstos para cada dado que pode ser
utilizado em eventual defesa judicial, administrativa ou arbitral?
Especificar e controlar exatamente esse período, já que os mesmos não

poderão ser mantidos após terem atingido seu termo final.
5. Os dados são descartados ao final dos prazos acima?
É preciso eliminá-los quando não houver mais justificativa para mantê-los.
Medidas de Segurança
Medidas de Segurança
É o momento em que deve-se verificar como os dados são recebidos, usados,

armazenados, compartilhados, transferidos ou descartados, para garantir em
todas as etapas a segurança das informações, impedindo vazamento ou uso
indevido, a partir da adoção de tecnologias, políticas de boas práticas, padrões
de governança, treinamento e conscientização de todas as pessoas envolvidas.
Essas medidas, inclusive, devem ser usadas sempre que, no processo de

mapeamento, for verificada alguma brecha, falha ou não conformidade com a
LGPD.
Considerando que os processos utilizados nas empresas são dinâmicos, uma

vez que acompanham as demandas de mercado, alterações legislativas,
flutuações econômicas, dentre outras, deve ser adotada como medida de
segurança a revisão frequente do mapeamento dos dados.
Checklist
1. Os dados são utilizados em ambiente físico ou digital? Como são recebidos?
Se por pessoas, estas têm treinamento para receber, avaliar e indicar os

procedimentos necessários para validar os tratamentos que serão feitos nos
dados?
Por exemplo: caso seja necessário assinar um contrato, coletar consentimento,

dar ciência, informar a política de privacidade, essas cautelas serão aplicadas?
Se por meios digitais, o sistema é preparado para receber de forma segura os

dados? Há mecanismos que impeçam o recebimento de dados desnecessários
ou não solicitados? Há informações quanto à política de privacidade ou ciência
ao titular das operações que serão realizadas nos dados?
2. Como os dados serão armazenados e descartados? Quem terá acesso?
Quais medidas de segurança adotadas para garantir e controlar que apenas
pessoas autorizadas realizem procedimentos nos dados?
Descrever detalhadamente cada uma dessas respostas: locais, pessoas e

mecanismos adotadas.
3. Quais as medidas já implantadas pela empresa para garantir a segurança

das informações?
Relacionar cada uma delas, especificando:
- os controles aplicados na proteção dos dados durante todo o ciclo de vida

dos dados, sejam eles organizacionais (conscientização e treinamento) ou
tecnológicos (criptografia, controles de acesso e histórico de procedimentos,
política de mesa e tela limpa); e
- as empresas que fornecem esses serviços, inclusive se há necessidade de

renovação contratual periódicas.
4. Com qual periodicidade o processo de mapeamento dos dados é revisto?

Como é feita a manutenção desses procedimentos? Quem é o responsável
indicado para esse controle?
O processo de mapeamento deve estar em constante atualização. É preciso

estabelecer os marcos que determinam essas revisões e quais são os
responsáveis por esse procedimento.
5. A partir das etapas anteriores do mapeamento, quais medidas ainda não se

encontram em conformidade com a LGPD? Por que motivo se encontram
pendentes? Quais providências serão adotadas para o seu cumprimento?
A empresa tem uma política de privacidade dos dados? Foi estabelecido um

padrão interno de boas práticas e governança dos dados?
Com os dados mapeados, o controlador deve identificar e corrigir:
- os processos do seu negócio que ainda não se encontram adequados à LGPD;

e principalmente
- as vulnerabilidades presentes na segurança dos dados.
Conceito e Objetivos
A LGPD dispõe, no artigo 50, que controladores e operadores poderão
estabelecer regras de boas práticas e governança para definir sua organização,
funcionamento, procedimentos de segurança, obrigações, ações educativas,
mecanismos de supervisão e mitigação de riscos, além de outros relacionados
ao tratamento de dados pessoais.
Isso porque é dever dos agentes de tratamento adotarem medidas de

prevenção, tanto técnicas quanto administrativas, capazes de proteger os
dados pessoais de qualquer forma de tratamento inadequado ou ilícito (artigo
46).
Conceito de Programa de Governança
É o programa que analisa a estrutura da atividade, a importância do uso dos

dados em sua organização e busca conciliá-los com os princípios e
fundamentos da LGPD, não se traduzindo apenas em procedimentos escritos,
mas representando um verdadeiro comprometimento de todos os envolvidos
na atividade, implementando de fato as ações necessárias para a proteção dos
dados.
Conceito de Boas Práticas
Condutas de boas práticas são aquelas que detalham e padronizam tarefas,

escolhas de tecnologias e processos, a fim de gerar os melhores resultados do
ponto de vista da segurança e da adequação à Lei.
Objetivos
O principal intuito é consolidar, de forma objetiva, as orientações que devem

ser seguidas por todos que lidam com dados pessoais para atender às
disposições da LGPD.
Assim, desenvolver um guia ou manual de boas práticas e governança oferece

segurança aos envolvidos, além de permitir o controle do seu cumprimento e
viabilizar as revisões periódicas.
Diretrizes
Para desenvolver suas regras de boas práticas, é preciso estar ciente que a
LGPD não estabelece como devem ser definidas, já que cada atividade tem
suas particularidades, além de tipos, volume de dados e operações específicas.
Entretanto, dispõe no § 2° do artigo 46 que, as medidas de segurança devem

ser observadas desde a fase da concepção do produto ou serviço até a sua
execução, o que significa que a proteção dos dados deve estar presente, não
apenas durante o seu ciclo de vida, mas em toda a estrutura da atividade.
A partir desta previsão, é importante entender as diretrizes da Privacidade

desde a Concepção, que têm como fundamento sete princípios básicos:
1. Proativo, não reativo. Preventivo, não corretivo: esta diretriz prioriza
condutas proativas e preventivas que devem identificar antecipadamente as
vulnerabilidades, impedindo que as infrações ocorram. A ideia não é trabalhar
com soluções de problemas, mas sim com a sua prevenção. Esta medida se
materializa em uma política de conscientização e comprometimento de todas
as pessoas envolvidas, tanto no tratamento dos dados pessoais, quanto na
organização da empresa, para estabelecer padrões de privacidade que devem
ser seguidos com rigor e atualizados continuamente, inclusive reconhecendo,
na origem, projetos ou condutas inadequadas para a LGPD;
2. Privacidade por Padrão: significa que, para garantir a privacidade, não deve
se esperar qualquer ação do titular dos dados. O produto, serviço, sistema ou
conduta adotada já deve contemplar mecanismos próprios para esse fim. Essa
medida visa aplicar, inclusive, o princípio da necessidade e da finalidade. Como
exemplo, não deve se exigir do titular desmarcar seleções em aplicativos ou
desativar a coleta de dados, as mesmas devem estar desativadas por padrão,
ou seja, o fornecimento ou autorização para uso dos dados não pode ser
automática, devendo depender de uma ação do titular;
3. Privacidade no Projeto: as medidas devem ser inseridas em todas as etapas
do projeto. Não devem ser vistas como aperfeiçoamento ou algo a ser
implementado ao final. Com isso, a privacidade fará parte da própria estrutura
do produto ou serviço. Para implantá-la, é preciso entender as vulnerabilidades
do projeto, documentando-as, bem como as medidas adotadas para contê-las;
4. Funcionalidade Completa: o objetivo é que todas as exigências sejam
igualmente relevantes e atendidas, de modo que as medidas para garantir a
privacidade não comprometa o projeto. Por outro lado, não se trata de apenas
solicitar consentimento ou declarações, caso essas exigências criem
impedimentos ao seu desenvolvimento. Todos esses aspectos devem estar
inseridos e atendidos com a mesma importância;
5. Proteção de Ponta a Ponta: todo o ciclo de vida dos dados, bem como
planejamento e a estrutura da atividade devem estar continuamente
preparadas para garantir a privacidade. A aplicação dessa medida envolve
estabelecer rigorosos padrões de segurança através de controle de acesso e
histórico, criptografia, confidencialidade e integridade dos dados, descarte
seguro, dentre outros;
6. Visibilidade e Transparência: os agentes de tratamento devem ser capazes
de demonstrar com clareza quais medidas estão sendo adotadas para garantir
a privacidade. Trata-se de um reflexo direto do princípio da boa-fé objetiva
previsto no artigo 6° da LGPD, segundo o qual não basta apenas proteger os
dados, é preciso externar as condutas instituídas. Para sua aplicação, as
práticas de privacidade utilizadas devem estar documentadas e disponíveis
para os titulares dos dados (artigo 37 da LGPD);
7. Respeito Pela Privacidade: para garantir a privacidade, os direitos dos
titulares devem ser priorizados através de uma comunicação clara, simplificada
e eficiente. Devem ser apresentadas políticas de privacidade facilmente
compreensíveis, o consentimento ou enquadramento correto na lei para uso
dos dados deve estar presente, apenas dados precisos e estritamente
necessários podem ser solicitados e garantir que os titulares tenham acesso e
conhecimento do uso das suas informações são exemplos de aplicação dessa
cautela.
Aplicação
Com os dados mapeados e identificadas as necessidades de adequação,
caberá definir a política de boas práticas e governança, isto é, as condutas que
deverão ser adotadas para que toda a atividade esteja continuamente em
conformidade com a proteção dos dados.
Importante ressaltar que esse programa deve considerar as particularidades de

cada negócio, bem como o resultado específico do seu mapeamento.
Entretanto, como regra geral, uma política de boas práticas e governança
envolve o desenvolvimento de um plano de ação que estabeleça algumas
condutas, dentre as quais estão:
1. Conscientização
Todas as pessoas que fazem parte da organização precisam receber

orientações sobre a política de boas práticas, tanto as envolvidas em
operações de tratamento dos dados, as quais devem estar cientes das suas
responsabilidades e atribuições diante da LGPD, quanto as demais, a quem
caberá se distanciar dessas informações.
Neste processo, podem ser adotados:
- Treinamento e capacitação constantes;
- Informativos internos sobre o respeito aos dados de todas as pessoas, tanto

clientes quanto empregados; e
- Atualização do Regimento Interno da Empresa para constar as condutas

esperadas e vedadas na proteção dos dados.
2. Segurança da Informação
As boas práticas devem definir as condutas e os recursos tecnológicos que

farão a proteção dos dados, dentre os quais, cabe citar:
- Fluxograma: a empresa deve delinear o seu fluxo de dados e, em cada etapa,

indicar e aplicar as condutas de proteção dos envolvidos, ressaltando-se que
dados pessoais sensíveis devem ter especial atenção.
Por exemplo: recebimento de um currículo, o empregado responsável deve ser
treinado a identificar se há dados além dos necessários para a oportunidade de
emprego e os mecanismos adotados para não recepcioná-los.
- Medidas de redução da exposição: com a política da mesa limpa e tela limpa,

as informações não devem estar expostas na estação de trabalho, salvo nos
momentos em que estejam sendo utilizadas, inclusive deve se ter atenção com
a tela do computador que deve ser bloqueada em caso de ausência do local,
evitando-se acesso não autorizado, vazamento ou uso indevido dos dados;
Controle de acesso aos dados: somente poderão ter contato com informações
pessoais os profissionais que forem designados para essa função. O acesso
deve ser controlado e registrado;
- Pseudoanonimização: adotar esse procedimento, quando possível, como

medida de proteção;
- Não permitir tratamento de dados através de dispositivos pessoais

(computador e smartphone, por exemplo);
- Adequação e atualização de Softwares de proteção permanente, inclusive

com mecanismos para cópias de segurança;
- Armazenamento dos dados em local seguro, tanto físico quanto digital,

limitando-se o acesso àqueles estritamente necessários;
- Adotar cláusulas contratuais nas relações com empregados e parceiros,

sejam operadores ou outros controladores, retratando o compromisso com a
proteção dos dados.
Para as condutas que envolvam uso de tecnologia, é importante buscar

orientações de especialistas na área, uma vez que o volume dos dados e das
operações de tratamento realizadas refletem diretamente na sua definição.
3. Política de Privacidade
A política de privacidade deve ser desenvolvida a partir de uma linguagem clara

e objetiva, utilizando-se de terminologias de fácil compreensão, inclusive com
recursos audiovisuais, se possível ou necessário.
Este documento deve (§ 2° do artigo 50):
- Demonstrar o comprometimento do controlador com a LGPD, a partir do

detalhamento das condutas que estão sendo executadas e das medidas de
segurança adotadas (alínea “a” do inciso I);
- Ser aplicável a todas as categorias de dados, pessoais e sensíveis (alínea “b”
do inciso I);
- Considerar a estrutura, escala, volume das operações realizadas e da

sensibilidade dos dados tratados para prestar as informações de forma precisa
(alínea “c” do inciso I);
- Definir condutas de proteção a partir da avaliação constante das

vulnerabilidades, descrevendo as medidas que estão sendo adotadas (alínea
“d” do inciso I)
- Estabelecer uma relação de confiança com o titular dos dados, através de

linguagem clara e simplificada, informando as condutas adotadas para
proteção das informações, disponibilizando mecanismos de participação e
canais de comunicação ao titular (alínea “e” do inciso I);
- Fazer parte da sua política de boas práticas e governança, desenvolvido de

forma integrada à sua estrutura, ou seja, a partir das particularidades de cada
negócio, e submetido constantemente a mecanismos de supervisão interna e
externa (alínea “f” do inciso I);
- Informar as condutas que serão aplicadas em caso de vazamento, uso

indevido ou demais incidentes, inclusive com plano de resposta e remediação
(alínea “g” do inciso I);
- Ser atualizado e revisado periodicamente (alínea “h” do inciso I); e
- Demonstrar, a partir de detalhamento de condutas e correspondência com a

norma, que seu programa de boas práticas e governança está adequado à
LGPD, especialmente quando solicitado pela ANPD (inciso II).
4. Controle dos Dados
As boas práticas devem ter especial atenção para:
- Desenvolvimento de um sistema de controle dos dados (categorias e suas

finalidades), seu ciclo de vida (mapeamento dos dados), inclusive período no
qual está condicionado o consentimento, com revisão periódica;
- Coleta e manutenção do menor número possível de dados, limitando-se aos

estritamente necessários e justificados pela sua finalidade;
- Realizar apenas as operações de tratamento imprescindíveis e para as quais

houve coleta dos dados;
- Dispensar a coleta de dados desnecessários e descartar de forma segura os

que já tenham sido coletados;
- Anonimizar dados que tenham encerrado o seu período de tratamento e
conservação, desde que atendidos os seus requisitos;
- A adoção de um programa de descarte seguro de dados:
- físicos ou digitais (com a orientação de especialista em tecnologia da

informação para a utilização de softwares que realizem esse procedimento); e
- desnecessários ou que já cumpriram seu ciclo de vida.
5. Consentimento ou Ciência
- Quando o tratamento dos dados estiver fundamentado no consentimento do

titular, é imprescindível que este seja solicitado nos parâmetros definidos pela
Lei, inclusive em caso de transferência para terceiros, lembrando que, deve ser
livre, informado e inequívoco. Consentimentos implícitos ou genéricos podem
ser considerados nulos. Especialmente para dados de menores, a LGPD
condiciona o tratamento ao consentimento de um responsável legal.
É preciso disponibilizar mecanismos para fácil revogação. Por exemplo,

simples envio de mensagem seja por e-mail ou aplicativos.
- Caso o tratamento fundamente-se em base legal diversa do consentimento,

deve se dar ciência ao titular quanto às finalidades, operações que serão
realizadas e período em que serão usados, o que pode ser feito no próprio
contrato ou em um termo de ciência.
Com isso, o programa de boas práticas deve tratar sobre:
- Gestão do Consentimento e Declaração de Ciência do titular, inclusive para as

transferências ou compartilhamento de dados, de forma destacada, através de
aditivos contratuais ou comunicações aos titulares de dados;
- Revisar contratos com empresas parceiras, a fim de incluir disposições sobre

a LGPD, e viabilizar a transferência de dados.
6. Direitos dos Titulares
O programa deve prever a garantia aos direitos dos titulares e mecanismos

para sua verificação.
É importante disponibilizar aos titulares:
- canais de comunicação, acessíveis de maneira fácil e simplificada;
- a oportunidade de não concordar com o fornecimento dos dados (desabilitar

seleções automáticas, para que o titular faça a seleção ou preenchimento);
- meios de solicitar a eliminação dos seus dados, possibilitando o direito ao
esquecimento, observadas as ressalvas da LGPD; e
- comunicação em caso de violação ou vazamento, determinando-se a

extensão da ocorrência e as medidas corretivas adotadas.
7. Encarregado
Indicação do encarregado ou DPO, que ficará responsável pela comunicação

entre os titulares dos dados, agentes de tratamento e autoridade de
fiscalização, além de orientar as medidas para cumprimento da Lei.
Neste processo, é importante também a criação de um comitê de segurança da

informação, a fim de avaliar as medidas de proteção de dados e auxiliar na
adequação à LGPD.
Importante
O programa de boas práticas deve se submeter a uma revisão e atualização

constante. Além disso, deve ser adequado à realidade de cada
empreendimento, de modo que os parâmetros acima apresentam-se como
orientações, cabendo alterações ou acréscimos a depender das
particularidades de cada negócio.
Conceito
O artigo 5°, inciso XVII, da LGPD define o Relatório de Impacto à Proteção de
Dados Pessoais (RIPD) como o documento de responsabilidade do controlador,
no qual serão descritos os processos de uso de dados que podem gerar riscos
às liberdades civis e aos direitos fundamentais, bem como as medidas
adotadas para mitigação desses riscos.
Observa-se aqui, assim como na Constituição Federal, a especial atenção dada

à proteção das liberdades civis e dos direitos fundamentais, cabendo entender
que:
- Liberdades Civis: representam os direitos do cidadão contra a interferência do

Estado na sua vida privada, dentre as quais, estão a liberdade de consciência
ou pensamento, religiosa, de expressão, de imprensa, de locomoção, de
associação e reunião;
- Direitos fundamentais: constituem-se como a base do direito, dos quais

decorre o ordenamento jurídico, sendo eles, o direito à vida, à liberdade, à
igualdade, à segurança e à propriedade.
Em outras palavras, o RIPD é o documento onde são listados os tratamentos de
dados que podem gerar riscos e as medidas usadas para protegê-los. Sua
principal função é demonstrar que o controlador analisou as vulnerabilidades
sobre os dados presentes na sua atividade, e buscou mecanismos para mitigá-
los, especialmente quando afetarem direitos fundamentais e liberdades civis.
Objetivos
O RIPD é um documento de responsabilidade do controlador, que tem como
principais objetivos:
- Identificar riscos e medidas de proteção, antecipando as vulnerabilidades e

evitando ou reduzindo a probabilidade de ocorrências ilícitas, ou indevidas;
- Apresentar-se como ferramenta de gerenciamento de riscos, viabilizando:
- A conscientização dos envolvidos no tratamento dos dados; e
- A demonstração para Autoridade Nacional, titulares de dados, parceiros

comerciais, investidores e Autoridades de Proteção de países estrangeiros sua
adequação à LGPD;
- Ser incorporado às condutas de boas práticas e governança do controlador,

auxiliando no cumprimento dos princípios da:
- Boa-fé objetiva: ao demonstrar as condutas que estão sendo adotadas;
- Finalidade: quando avalia as razões do tratamento;
- Adequação: ao analisar a compatibilidade do dado com a sua finalidade;
- Necessidade: a partir da delimitação dos dados e das operações de

tratamento; e
- Segurança: com a avaliação e adoção de medidas técnicas e administrativas;
- Cumprir a LGPD, para os casos em que deva ser obrigatoriamente elaborado,

por exemplo, quando gerar risco às liberdades civis ou aos direitos
fundamentais, ou ainda quando for solicitado pela ANPD.
Aspectos Relevantes
Responsabilidade
É um documento a ser desenvolvido pelo controlador (inciso XVII do artigo 5°),

cabendo a ele identificar quais operações de tratamento devem constar neste
relatório. É recomendável que haja participação do Encarregado (DPO) na sua
elaboração, tendo em vista a sua capacidade técnica para orientar de forma
independente.
Importante que os departamentos da empresa, operadores e parceiros

externos que participem das operações de tratamento colaborem no
desenvolvimento deste relatório, auxiliando na identificação dos riscos e das
medidas preventivas. Entretanto, a responsabilidade pelo documento não é
delegada a esses agentes, permanecendo exclusivamente ao controlador, já
que ele a cabem as decisões sobre os dados.
Documento Prévio ao Tratamento
Muito embora a LGPD não determine expressamente, como um dos objetivos

deste relatório é proteger o titular dos dados, identificando e controlando os
riscos, orienta-se que seja elaborado antes de iniciar o tratamento dos dados, já
que, a partir deste documento, será possível adotar uma conduta preventiva e
não corretiva.
Pluralidade de RIPD
É possível que o controlador tenha em sua atividade segmentos distintos que

realizam operações em dados. Por este motivo, a quantidade e variedade de
dados pessoais pode justificar a elaboração de um RIPD para cada projeto ou
área específica do controlador. É o que pode ocorrer, por exemplo, com dados
de empregados e clientes. Como a LGPD não traz previsão sobre o assunto, até
que seja regulamentado, a decisão pela elaboração de um único relatório ou de
vários cabe ao controlador, de acordo com a realidade do seu negócio.
Obrigatoriedade
Há situações em que a elaboração ou atualização do relatório de impacto será

obrigatória. Para identificar essas hipóteses, é importante ter realizado o
mapeamento dos dados, buscando o conhecimento de todas as suas
operações de tratamento. Com isso, o RIPD será obrigatório quando:
- Do uso dos dados, houver risco às liberdades civis ou aos direitos

fundamentais, ou seja, quando puderem comprometer o direito à igualdade, a
liberdade religiosa ou de expressão, por exemplo;
- O tratamento estiver fundamentado no legítimo interesse do controlador, já

que este documento pode ser solicitado pela ANPD; e
- Por determinação da ANPD a qualquer tempo, nos termos do Regulamento

ainda pendente de publicação.
Com isso, ressalta-se a importância de ter esse documento elaborado
previamente ao início do tratamento dos dados e antes mesmo de qualquer
solicitação da Autoridade Nacional, especialmente porque, como a LGPD tem
como princípio a prevenção, uma conduta proativa demonstra a conformidade
da atividade com a norma.
Assim, para as demais hipóteses em que não haja obrigatoriedade prevista na

LGPD, a elaboração deste relatório se justifica pelos seus objetivos,
principalmente porque representam segurança e maturidade da organização
em relação à proteção dos dados.
Conteúdo Mínimo
A LGPD estabelece no parágrafo único do artigo 38 que o RIPD deve conter

pelo menos:
- descrição dos tipos de dados;
- forma de coleta;
- metodologia utilizada para garantir a segurança das informações; e
- análise das medidas adotadas para diminuição dos riscos.
Elaboração
Destaca-se, inicialmente, que não há, na LGPD ou ainda em regulamento da
ANPD, orientações específicas sobre a elaboração do Relatório de Impacto.
Entretanto, a partir dos conteúdos mínimos exigidos, dos objetivos a serem
atingidos e das referências deste relatório no GDPR (Regulamento Europeu), é
possível identificar o seguinte passo a passo.
1° Passo: identificar no relatório os agentes de tratamento
Nesta etapa, devem ser relacionados os nomes do controlador, do operador e

do encarregado, registrando-se ainda os contatos deste último já que ele
representa o canal de comunicação entre todas as partes envolvidas nos
tratamentos de dados.
2° Passo: relacionar a necessidade de elaboração
É preciso ter conhecimento dos processos internos da atividade para identificar

as situações que podem demandar a elaboração do relatório.
Além dos casos obrigatórios já relacionados anteriormente, o desenvolvimento

ou atualização do RIPD pode também ser necessário quando:
- artigo 5°, inciso II: houver utilização de dados pessoais sensíveis, já que
demandam especial proteção;
- artigo 12, § 2°: reunindo informações sobre determinado perfil

comportamental for possível identificar uma pessoa física, inclusive por
geolocalização;
- artigo 14: houver dados de crianças e adolescentes, em razão da atenção

dada pela LGPD a esses titulares;
- artigo 20: as decisões forem tomadas unicamente com base em tratamento

automatizado de dados, ou seja, sem interferência humana;
- artigo 42: o tratamento dos dados puder causar dano patrimonial, moral,
individual ou coletivo aos titulares;
- ainda quando houver alteração na legislação aplicável, na estrutura da

atividade, na tecnologia utilizada ou em caso de regulamentação pela ANPD.
Assim, nesta etapa, devem ser relacionadas as causas que justificam a

elaboração do relatório e os objetivos que se pretende alcançar.
Por exemplo: De acordo com o artigo 38 da Lei 13.709/2018, é possível que a

ANPD solicite, a qualquer tempo, a elaboração do Relatório de Impacto, nos
termos do regulamento que ainda se encontra pendente de publicação. Assim,
como conduta preventiva e proativa, a elaboração do RIPD é necessária,
especialmente porque, nas atividades deste controlador, podem ser realizadas
operações de tratamento de dados:
- fundamentadas no legítimo interesse do controlador, de acordo com o artigo

10 da LGPD;
- de crianças e adolescentes, conforme artigo 14 da LGPD;
- relacionados à saúde, nos termos do artigo 5º, inciso II, da LGPD.
Justifica-se, portanto, a elaboração deste relatório, inclusive com o intuito de

demonstrar sua boa-fé e conformidade com a proteção de dados pessoais,
ciente principalmente dos riscos envolvidos nestas operações de tratamento e
no seu compromisso em reduzir o máximo possível sua materialização.
3° Passo: descrever os processos de tratamento
Uma vez confirmada a necessidade de elaboração do relatório, será preciso

descrever os tipos de tratamentos de dados realizados. Aqui devem ser
relacionadas informações sobre:
- Ciclo de vida dos dados: deve-se detalhar como é feita a coleta, o uso, o
armazenamento e o descarte seguro. Especialmente sobre a coleta dos dados,
é importante informar ainda se sua origem é digital ou física. Deve-se relacionar
os casos de compartilhamento dos dados, os agentes de tratamento que lidam
com os dados, pontuando as fases que participam, as tecnologias utilizadas e
as medidas de segurança aplicadas. Um fluxograma pode auxiliar nesta etapa;
- Sobre os dados: cabe destacar aqui os tipos e quantidade de dados que são
coletados, especificando aqueles considerados sensíveis pela LGPD, a
frequência e o período com que são tratados e mantidos, e ainda o número de
titulares envolvidos e sua abrangência geográfica, buscando definir a extensão
do tratamento dos dados;
- Direitos dos Titulares: apontar como os titulares se relacionam com a

atividade (meio de comunicação disponibilizado) e o tipo de controle que
exercem sobre seus dados;
- Finalidade: devem ser apontadas os fundamentos ou bases legais que

autorizam o uso dos dados, indicando os resultados pretendidos para os
titulares e os benefícios esperados pelo controlador.
4° Passo: indicar as consultas realizadas
Neste momento, devem ser descritas as consultas realizadas para elaboração

do relatório, ou seja, as pessoas que auxiliaram no seu desenvolvimento, como,
operadores, especialistas em tecnologia da informação ou da área jurídica, até
mesmo os titulares dos dados, detalhando as indicações de cada parte,
especialmente quanto aos riscos encontrados.
Caso não tenham sido realizadas as referidas consultas, é importante também

destacar a razão da dispensa, como, por exemplo, preservação de segredo
industrial ou comercial.
5° Passo: analisar a necessidade e proporcionalidade
Nesta etapa, o relatório deve demonstrar que o controlador se preocupou em

conciliar os princípios da necessidade, finalidade e adequação. Alguns
questionamentos podem auxiliar nesta análise:
- A partir da base legal que fundamenta o tratamento dos dados, seu objetivo é
alcançado? Há outras formas de ser atingidos?
Pelo princípio da adequação, o uso do dado deve estar relacionado à finalidade

apontada e a base legal que o autorizou. Por esse motivo, o objetivo é
demonstrar que o uso do dado é realmente necessário para o fim que se
destinou.
- Quais as medidas adotadas para garantir a qualidade dos dados, ou seja, a
preservação da sua exatidão, clareza, relevância e atualização?
Busca-se aqui indicar que a integridade dos dados está sendo resguardada.
- Como o controlador assegura que o operador segue suas orientações? Nas

transferências internacionais, qual o procedimento de segurança adotado?
A resposta a esse questionamento visa transmitir que a proteção aos dados é

preservada durante todo o processo de tratamento.
Nesta etapa do Relatório, o controlador demonstra que utiliza os dados apenas

estritamente necessários para atingir suas finalidades e que não há
procedimentos dispensáveis ou descuidados.
6° Passo: identificar e avaliar os riscos
Aqui, é importante catalogar os riscos, descrevendo sua probabilidade e

gravidade caso ocorram, atribuindo um escalonamento para cada parâmetro.
Assim, quanto maior for o risco e a probabilidade de ocorrência, maior deve ser
a medida de segurança adotada ou até mesmo a decisão de não mais realizar
determinada operação.
Dentre os riscos, é possível listar, a título de exemplo:

o acesso, modificação ou remoção não autorizadas;
o perda ou roubo;
o solicitação de dados em excesso;
o esclarecimentos insuficientes ao titular, especialmente quanto à
finalidade e compartilhamento;
o direitos dos titulares não garantidos (como, tratamento sem
consentimento ou perda de acesso);
o falha na gestão de consentimento e de retenção de dados.
7° Passo: relacionar as medidas protetivas
Com base no passo anterior, devem ser relacionadas as condutas técnicas e

administrativas adotadas para eliminar, reduzir ou controlar os riscos,
indicando ainda quais níveis serão aceitáveis para a empresa considerando os
benefícios pretendidos. Assim, para cada item apontado no 6° passo, deve ser
relacionada a medida adotada e seu efeito sobre o risco.
Por exemplo: para o risco de acesso não autorizado, a medida adotada será
controle por senha, biometria ou outro mecanismo, com registro de histórico.
Efeito do risco: redução para um limite mínimo aceitável.
8° Passo: aprovação e assinatura do relatório
Etapa conclusiva do relatório em que os representantes do controlador, que

participaram do seu desenvolvimento, registram a aprovação do documento e
suas assinaturas.
Revisão
Deve ser registrada uma periodicidade em que o RIPD será revisto,

especialmente quando houver alteração nos processos internos e na finalidade
do tratamento dos dados, no uso de novas tecnologias, desenvolvimento de
novos produtos ou serviços, enfim, sempre que houver modificações
importantes na estrutura de tratamentos dos dados.
Passo a Passo
Diante de todas as orientações e esclarecimentos tratados sobre a LGPD, é
importante estabelecer uma sequência neste processo de adequação. Muito
embora, a norma não traga orientações neste sentido, segue abaixo os pontos
de especial atenção.
1. Legislação
1° Passo - Estudar a LGPD e demais normas relacionadas à atividade
A LGPD é uma lei que vem estabelecer uma nova ordem na forma de lidar com
dados pessoais, atingindo a todas as áreas que se valem dessas informações,
seja comercialmente ou não.
Por ser uma norma geral, traça diretrizes, ao mesmo tempo em que determina
o cumprimento das leis específicas sobre cada matéria, como, por exemplo, o
Código de Defesa do Consumidor, Código Tributário Nacional, Código Civil, CLT,
etc (artigo 64 da LGPD). Por esse motivo, o conhecimento do ordenamento
jurídico é essencial para sua implantação.
2. Encarregado (DPO)
2° Passo - Nomear o Encarregado (DPO)
O encarregado é o responsável por intermediar o relacionamento das partes

envolvidas no uso dos dados, sejam agentes de tratamento, titulares e ANPD. É
também aquele que irá orientar a adequação da empresa a essas novas regras.
A LGPD determina que o controlador indique o seu encarregado e divulgue seus

contatos publicamente. Por isso, é parte essencial na etapa inicial do processo
de implantação.
Ainda, é importante considerar que a adequação à LGPD demanda a
conscientização e, em muitos casos, uma reestruturação, em diversos setores
da atividade. Com isso, pode ser prudente, também neste momento, constituir
um comitê interno, com especialistas em diversos assuntos, como TI
(tecnologia da informação), jurídico e administrativo, que ficará responsável por
garantir o andamento em conjunto de todas as áreas.
3. Mapeamento de Dados
3° Passo - Mapear os Dados que transitam por todas as áreas do negócio
O mapeamento de dados e riscos é o processo em que se busca identificar os

dados tratados pela empresa, sua correlação com as finalidades propostas,
definindo o seu fluxo interno e adequação com as diretrizes da LGPD.
A partir do mapeamento, o controlador terá uma visão geral do seu negócio em

relação aos dados, das condutas que deve adotar, sejam administrativas ou
técnicas, e dos riscos que deve gerenciar, seja para eliminar ou controlar, em
busca de conformidade.
4. Boas Práticas
4° Passo - Elaborar o Manual de Boas Práticas e Governança
O Manual de Boas Práticas e Governança é o documento que reúne as

orientações, práticas e condutas que devem ser seguidas por todos os
envolvidos no tratamento dos dados, seja direta ou indiretamente, além de
viabilizar o processo de conscientização. É o momento inclusive para analisar
os documentos internos e externos, revendo e atualizando cláusulas
contratuais.
É importante elaborar um checklist das condutas que devem ser continuamente

observadas, considerando a natureza de cada atividade, dentre as quais, é
possível citar os controles de:
- Fornecedores: para garantir que todos estejam alinhados com a LGPD;
- Dados e Riscos: visando controlar que tipos de dados, volume, frequência,

operações são realizadas e os riscos correspondentes;
- Consentimentos e Ciência: para que todos os dados estejam sendo tratados

em conformidade com a sua respectiva base legal, inclusive para os casos de
compartilhamento; e
- Retenção: de modo que o período permitido de tratamento dos dados seja

observado com precisão.
O desenvolvimento deste documento é parte essencial para que as diretrizes
de conformidades estejam claramente traçadas, possam ser cumpridas,
fiscalizadas e revisadas periodicamente.
5. Treinamento
5° Passo - Treinamento e Capacitação de Equipes
Todos aqueles que lidam com dados pessoais devem estar cientes das novas
regras estabelecidas em razão da LGPD. Assim, os treinamentos e
capacitações visam garantir a conscientização, alinhamento e engajamento
para a nova cultura empresarial.
6. Relatório de Impacto
6° Passo - Relatório de Impacto de Proteção de Dados
Este documento indica que o controlador conhece sua atividade, analisou os

riscos e buscou as medidas para reduzi-los ou eliminá-los. Muito embora não
seja obrigatório em todos os casos, o seu desenvolvimento demonstra uma
conduta proativa e comprometida da empresa em garantir a segurança dos
dados.
7. Transparência
7° Passo - Transparência
As condutas adotadas pela empresa, para a proteção dos dados, devem ser de
conhecimento de todos: clientes, empregados, consumidores, fornecedores,
parceiros e Autoridade de Proteção.
Assim, garantir a transparência é uma etapa fundamental na implantação da

LGPD. Para isso, é importante:
- Criar um canal de comunicação com fácil acesso, seja pelo site, e-mail,
telefone, redes sociais, etc.;
- Desenvolver informativos, com linguagem simples, esclarecendo as medidas

adotadas;
- Ter iniciativa em informar qualquer alteração relacionada aos dados pessoais,

de forma clara e eficaz;
- Gerenciar os pedidos dos titulares e da ANPD, estabelecendo um

procedimento padrão, que garanta sua agilidade e efetividade, especialmente
quanto aos pedidos de:
- Confirmação e Acesso aos Dados, permitindo que o titular saiba quais dados
estão sendo usados e para qual finalidade. Este pedido deve ser atendido em
formato simples e de imediato, ou, por declaração clara e completa, no prazo
de até 15 dias;
- Retificação dos dados incompletos, errados ou desatualizados;
- Eliminação, Cancelamento ou Exclusão, quando houver uso de dados

desnecessários, excessivos ou em desconformidade com a LGPD;
- Portabilidade, para garantir a transferência de dados entre controladores;
- Consentimento, seja para restringir o uso dos dados em que este já tenha sido
dado, ter informação quanto à sua extensão ou até mesmo para revogá-lo;
- Informações sobre Compartilhamento, seja com instituições públicas ou

privadas; e
- Oposição pelo uso de dados que independem do consentimento.
8. Revisão Periódica
8° Passo - Revisão Periódica
A implantação da LGPD pressupõe um processo dinâmico que deve estar em

contínua atualização. Assim, sempre que houver novos dados a serem
coletados ou novas finalidades, alterações em legislação, tecnologias,
condutas, pessoas envolvidas, ou em qualquer etapa que reflita no uso dos
dados, deverá ser feita uma avaliação, revisão e atualização dos processos.
Por esse motivo, é importante estabelecer uma metodologia, periodicidade e

controle dessas alterações, especialmente porque contribuem para demonstrar
a boa-fé da empresa em garantir a proteção dos dados pessoais
Aplicação
A proteção estabelecida pela LGPD tem aplicação direta nas relações de
trabalho, principalmente porque os dados pessoais estão presentes desde o
momento da entrega do currículo até a fase pós-contratual, quando permanece
a necessidade de manter documentos do extinto contrato de trabalho, durante
o prazo previsto em Lei.
Via de regra, figuram como titular dos dados o trabalhador; como controlador, o
empregador ou o contratante; e como operadores, aqueles que, em razão do
compartilhamento, realizam alguma operação de tratamento. Portanto, a LGPD
impõe uma adequação às rotinas trabalhistas em todas as suas fases para que
os dados pessoais sejam tratados em conformidade com a Lei e em respeito
aos direitos fundamentais de privacidade, intimidade, honra e imagem do titular
dos dados.
Empregador Doméstico
Quanto às relações de trabalho doméstico, há divergência doutrinária sobre a
aplicação da LGPD, já que, neste contrato, a prestação de serviços ocorre em
âmbito familiar e residencial sem fins econômicos, sendo que a Lei n°
13.709/2018 estabelece expressamente que não há aplicação da proteção dos
dados quando o tratamento for realizado por pessoa física para fins
exclusivamente particulares e não econômicos, como, via de regra, ocorre no
trabalho doméstico (inciso I do artigo 4º da LGPD).
Assim, em primeira análise, seria possível afirmar a não aplicação da norma a

esta relação contratual. Entretanto, há entendimento minoritário em sentido
contrário por entender que o compartilhamento dos dados com o poder público
descaracterizaria a finalidade exclusivamente particular e, ainda, a não
aplicação implicaria em proteção diferenciada aos empregados não
domésticos.
Caberá, portanto, à ANPD regulamentar sua aplicação.
Para a LGPD, são agentes de tratamento apenas o controlador e o operador de
dados (inciso IX do artigo 5º da LGPD).
Controlador
O empregador, como regra, será o controlador.
Contudo, dependendo da finalidade do tratamento, também poderá ser

controlador o tomador de trabalho terceirizado e temporário, a clínica de
medicina ocupacional, o sindicato, entre outros. Assim, nessas hipóteses em
que ocorrerá o compartilhamento de dados, será necessário analisar a
finalidade para qual cada agente de tratamento fez uso dos mesmos (inciso VI
do artigo 5º da LGPD).
Operador
O operador é a pessoa natural ou jurídica, de direito público ou privado, que

realiza o tratamento de dados pessoais em nome do controlador (inciso VII do
artigo 5º da LGPD).
A LGPD não estabelece como obrigatória a existência do operador, de modo
que, ele poderá ou não existir. Dessa forma, o próprio empregador poderá
exercer as tarefas de operador.
São exemplos de operador: a contabilidade, a empresa que tenha sido

contratada para cuidar da gestão da folha de pagamento, as empresas
especializadas em armazenamento de dados (softwares), a advocacia, o
sindicato.
Encarregado - DPO
Conceito e Obrigatoriedade
O encarregado é a pessoa, física ou jurídica, indicada pelo controlador e
operador para atuar como um canal de comunicação entre o controlador, os
titulares dos dados e a ANPD (inciso VIII do artigo 5° da LGPD). É também
chamado de DPO (Data Protection Officer), em razão do tratamento dado pelo
regulamento europeu, sendo o responsável por orientar
o cumprimento da Lei Geral de Proteção de Dados.
Sua indicação, apesar de prevista como obrigatória pela LGPD, poderá ter sua
dispensa regulamentada pela ANPD a partir de condições específicas das
operações de tratamento (§ 3° do artigo 3° da LGPD).
Como é função do encarregado realizar a comunicação entre as partes

envolvidas no tratamento dos dados, sua identidade e informações de contato
devem ser divulgadas publicamente, de modo claro, objetivo, de fácil acesso,
preferencialmente no site do controlador (§ 1º do artigo 41 da LGPD).
Dispensa do Encarregado
A ANPD poderá estabelecer normas complementares sobre a definição e as

atribuições do encarregado, inclusive hipóteses de dispensa da necessidade de
sua indicação, conforme a natureza e o porte da entidade ou o volume de
operações de tratamento de dados (§ 3° do artigo 41 da LGPD).
Alguns doutrinadores defendem que em se tratando de Microempreendedor

Individual (MEI), empregador individual, empregador doméstico, a indicação do
Encarregado é dispensável, tendo em vista que não seria uma exigência
razoável, tão pouco viável economicamente, e nestes casos, o próprio
empregador assumiria este encargo.
Grupo Econômico
Embora a LGPD tenha sido omissa quanto a possibilidade de as empresas que

compõem o mesmo grupo econômico indicarem apenas um Encarregado, já
existe entendimento neste sentido, com fundamento no direito comparado,
conforme artigo 8º da CLT. Entretanto, como se trata de entendimento é
necessário aguardar futuras regulamentações pela ANPD.
Empregado como Encarregado
Existe divergência quanto a possibilidade de indicação de um empregado como

Encarregado. Assim, há quem defenda não haver proibição na LGPD, portanto,
seria possível o controlador indicar um empregado seu como Encarregado pelo
tratamento de dados pessoais. Quando o empregado assume a função de
Encarregado, deve ser firmado termo aditivo ao contrato de trabalho, em
respeito ao artigo 468 da CLT.
Por outro lado, há entendimento de que o Encarregado deve possuir uma

autonomia, incompatível com a qualidade de empregado, em razão das
atribuições que possui, o que torna inviável a condição de ser empregado e
Encarregado ao mesmo tempo.
Titulares dos Dados

O titular é a pessoa natural a quem se referem os dados pessoais que são
objeto de tratamento (inciso V do artigo 5º da LGPD).
Na relação de trabalho, os titulares dos dados serão os empregados, o

autônomo, o estagiário, o aprendiz, o trabalhador voluntário, o avulso, ou seja,
toda a pessoa física que em razão da prestação de serviços, fornece seus
dados pessoais ao empregador ou contratante.
Os dependentes dos trabalhadores que tenham seus dados repassados ao

controlador, em razão de alguma obrigação acessória decorrente da relação de
trabalho, a exemplo de salário família, declaração de imposto de renda retido
na fonte, ou concessão de benefícios estendidos aos filhos, ou equiparados,
também recebem a proteção da LGPD.
Direitos dos Titulares

De acordo com o artigo 17 da LGPD, a pessoa natural tem assegurada a
titularidade de seus dados pessoais e garantidos os direitos fundamentais de:
- Liberdade;
- Intimidade e
- Privacidade.
Ainda, a autodeterminação informativa, além de ser um dos fundamentos da

LGPD (inciso III do artigo 2º), também é um direito do titular dos dados, a quem
fica assegurdao o poder de decisão sobre qualquer procedimento realizado
com os seus dados pessoais, para que a sua privacidade e a sua intimidade
sejam respeitadas.
Dados Pessoais cujo acesso é Público
A LGPD estabelece que o tratamento de dados pessoais cujo acesso é público

deve considerar a finalidade, a boa-fé e o interesse público que justificaram sua
disponibilização (§ 3° do artigo 7º da LGPD).
Quando não há impedimento legal para a obtenção de um dado pessoal, ele

será de acesso público, como por exemplo, a informação sobre o titular ser
sócio de uma empresa, que pode ser obtida por meio de consulta ao banco de
dados da Receita Federal, ou mediante solicitação de cópia do contrato social
na junta comercial, ou ainda, a informação sobre ser proprietário de imóvel,
dado que pode ser verificado no cartório de registro de imóveis da localidade
em que o bem está situado.
Na relação de trabalho, a título de exemplo, pode-se citar a consulta sobre a

situação cadastral do CPF do empregado, na base de dados da Receita Federal.
Importante mencionar que uma das premissas para o envio de informações e
recolhimento das obrigações por meio do eSocial é a consistência dos dados
cadastrais enviados pelo empregador relativo aos trabalhadores a seu serviço,
de acordo com orientação constante no Manual do eSocial.
Dados Pessoais tornados Públicos
Os dados tornados públicos são aqueles que voluntariamente são divulgados

pelo titular. Como exemplo, pode-se mencionar a situação em que o titular dos
dados pública em sua rede social alguma informação sobre a sua religião ou
sua opinião política, ou até mesmo a filiação a determinado sindicato de
classe.
De acordo com a LGPD, é dispensada a exigência do consentimento para os

dados tornados manifestamente públicos pelo titular, resguardados os direitos
e os princípios. A eventual dispensa do consentimento não desobriga os
agentes de tratamento das demais obrigações previstas na LGPD,
especialmente no que diz respeito a observância dos princípios e a garantia
dos direitos do titular (§ 4° e § 6° do artigo 7º).
Assim, mesmo aqueles dados que foram tornados públicos pelo empregado,
continuam sendo dados pessoais e permanecem recebendo a proteção da Lei
Geral de Proteção de Dados.
Direitos exercidos mediante Requisição

O empregado, enquanto, titular dos dados pessoais, tem o direito de obter do
empregador, em relação ao tratamento dos seus dados, a qualquer momento e
mediante requisição (artigo 18 da LGPD):
1. Confirmação da existência de tratamento, acesso aos dados e correção de

dados incompletos, inexatos ou desatualizados (incisos I, II e III do artigo 18)
É o direito de conferir se os seus dados estão sendo objeto de tratamento, qual

operação está sendo realizada (compartilhamento, guarda, utilização, etc.),
acessar os dados, e solicitar eventuais correções ou atualizações.
2. Anonimização, bloqueio ou eliminação de dados desnecessários,

excessivos ou tratados em desconformidade com o disposto na LGPD (inciso
IV do artigo 18)
O empregado também pode solicitar o bloqueio ou a suspensão das atividades

que envolvem o uso dos seus dados pessoais em violação a LGPD, bem como,
pode requerer a eliminação dos dados usados em excesso e para finalidades
não informadas no momento da coleta.
3. Portabilidade dos dados a outro fornecedor de serviço ou produto, mediante

requisição expressa, de acordo com a regulamentação da autoridade nacional,
observados os segredos comercial e industrial (inciso V do artigo 18)
Na relação de trabalho, pode-se citar como exemplo, a situação em o

empregador fornece plano de saúde com co-participação e o empregdao, no
decorrer do contrato de trabalho, decide mudar de operadora de plano de
saúde, arcando com a mensalidade integral, por ter encontrado condições mais
vantajosas. Neste caso, poderia solicitar a portabilidade dos seus dados
médicos para a nova operadora do plano de saúde.
4. Eliminação dos dados pessoais tratados com o consentimento do

titular (inciso VI do artigo 18)
O empregado tem o direito de requerer a destruição/eliminação dos dados que

havia fornecido mediante seu consentimento, salvo nas hipóteses de
conservação dos dados para cumprimento de obrigação legal ou regulatória
pelo controlador; estudo por órgão de pesquisa, garantida, sempre que possível,
a anonimização dos dados pessoais; transferência a terceiro, ou uso exclusivo
do controlador, vedado seu acesso por terceiro, e desde que anonimizados os
dados (artigo 16 da LGPD).
Os dados pessoais que são necessários para o cumprimento de dever legal

serão mantidos pelo controlador, mesmo diante da solicitação de eliminação
(inciso II do artigo 7º da LGPD).
5. Informação das entidades públicas e privadas com as quais o controlador
realizou uso compartilhado de dados (inciso VII do artigo 18)
Cabe ao empregador informar ao empregado com quais órgãos públicos

realiza o compartilhamento dos seus dados pessoais e para qual finalidade. O
recomendado é que essa informação conste no termo de consentimento ou de
ciência no momento da coleta dos dados.
6. Informação sobre a possibilidade de não fornecer consentimento e sobre as

consequências da negativa (inciso VIII do artigo 18)
O empregador deve informar ao colaborador a possibilidade de não consentir

quanto ao uso dos seus dados pessoais, e também prestar esclarecimentos
sobre as hipóteses que são ressalvadas pela lei, ou seja, aquelas situações em
que poderá usar os dados pessoais mesmo sem consentimento do titular.
São elas:
- Para o cumprimento de obrigação legal ou regulatória pelo controlador (inciso
II do artigo 7º da LGPD);
- Pela administração pública, para o tratamento e uso compartilhado de dados

necessários à execução de políticas públicas previstas em leis e regulamentos
ou respaldadas em contratos, convênios ou instrumentos (inciso III do artigo 7º
da LGPD);
- Para realização de estudos por órgãos de pesquisa, garantida, sempre que

possível, a anonimização dos dados pessoais (inciso IV do artigo 7º da LGPD);
- Quando necessário para a execução de contrato ou de procedimentos

preliminares relacionados a contrato do qual seja parte o titular, a pedido do
titular dos dados (inciso V do artigo 7º da LGPD);
- Para o exercício regular de direitos em processo judicial, administrativo ou arb
itral (inciso VI do artigo 7º da LGPD);
- Para a proteção da vida ou da incolumidade física do titular ou de terceiro (inci
so VII do artigo 7º da LGPD);
- Para a tutela da saúde, exclusivamente, em procedimento realizado por

profissionais de saúde, serviços de saúde ou autoridade sanitária (inciso VIII do
artigo 7º da LGPD);
- Quando necessário para atender aos interesses legítimos do controlador ou

de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais
do titular que exijam a proteção dos dados pessoais (inciso IX do artigo 7º da
LGPD);
- Para a proteção do crédito, inclusive quanto ao disposto na legislação
pertinente (inciso X do artigo 7º da LGPD).
7. Revogação do consentimento, nos termos do § 5º do artigo 8º da Lei

13.709/2018 (inciso IX do artigo 18)
Quando o tratamento dos dados estiver fundamentado no consentimento,

deve-se garantir ao empregado o direito de revogar, por meio de procedimento
facilitado e sem custos, o consentimento anteriormente concedido quanto ao
uso dos seus dados pessoais.
Os dados pessoais que são necessários para o cumprimento de dever legal

serão mantidos pelo controlador, mesmo diante da solicitação de revogação
(inciso II do artigo 7º da LGPD).
Por tais motivos, e por se considerar que o empregado não tem plena
capacidade de se opor ao tratamento dos dados nas relações trabalhistas, é
que o consentimento tem sido considerado como base legal a ser aplicada em
hipóteses específicas no contrato de trabalho, especialmente quando refletir
em benefícios ao trabalhador.
8.
Peticionar em relação aos seus dados contra o controlador perante a autorida
de nacional (1° do artigo 18)
Sempre que o trabalhador verificar que os seus dados estão sendo usados de
maneira irregular pelo empregador, por exemplo, para finalidades diversas
daquelas informadas no momento da contratação, ou ainda, sem amparo legal,
poderá manifestar-se perante a ANPD, que deverá instaurar procedimento
administrativo para apurar os fatos.
9. Opor-se a tratamento realizado com fundamento em uma das hipóteses de

dispensa de consentimento, em caso de descumprimento ao
disposto na LGPD (§ 2° do artigo 18)
O titular poderá opor-se a uma operação realizada com os seus dados que
esteja fundamentada em uma das hipóteses de dispensa de consentimento,
caso verifique o descumprimento das regras da LGPD. Dessa forma, quando o
empregado observar que o empregador não coletou o consentimento com
fundamento em cumprimento de dever legal, por exemplo, e verificar que não
há previsão legal para o uso do seu dado pessoal, poderá opor-se a esse
tratamento.
10. Solicitar a revisão de decisões tomadas unicamente com base em

tratamento automatizado de dados pessoais que afetem seus interesses,
incluídas as decisões destinadas a definir o seu perfil pessoal, profissional, de
consumo e de crédito ou os aspectos de sua personalidade (artigo 20 da
LGPD)
Sempre que for solicitado pelo titular, o controlador deverá fornecer

informações claras e adequadas sobre os critérios e os procedimentos
utilizados para decisões geradas sem intervação humana. Ou seja, é o direito
que possui o titular dos dados, de receber explicações sobre os critérios que
levaram a decisão gerada por procedimento de inteligência artificial.
Na relação de trabalho, pode-se citar como exemplo, os testes automatizados

que são utilizados para traçar perfil comportamental ou profissional, realizados
geralmente em processos seletivos internos de promoção na carreira.
Quando as informações não forem oferecidas, em razão de segredo comercial

e industrial, a autoridade nacional de proteção de dados poderá realizar
auditoria para verificar possíveis aspectos discriminatórios desses
procedimentos de automação de decisões.
11. Os dados pessoais referentes ao exercício regular de direitos pelo titular

não podem ser utilizados em seu prejuízo (artigo 20 da LGPD)
O exercício regular do direito nada mais é do que a prática de uma conduta

amparada em Lei. Portanto, o exercício regular de um direito não pode ser
utilizado em prejuízo do titular dos dados.
Na relação de trabalho, cita-se como exemplo, o uso pelo empregado, da sua

conta em rede social, para expressar a sua convicção religiosa ou política.
Como se trata de um direito constitucionalmente assegurado (inciso IV do
artigo 5º da CF/88), não poderá ser utilizado pelo empregador em desfavor do
trabalhador, e gerar reflexos negativos no contrato de trabalho.
12. Direito de ação, por meio do qual a defesa dos interesses e dos direitos

dos titulares de dados poderá ser exercida em juízo, individual ou
coletivamente, na forma do disposto na legislação pertinente, acerca dos
instrumentos de tutela individual e coletiva (artigo 22 da LGPD)
Trata-se do direito de mover uma ação trabalhista, de forma individual ou

coletiva, (onde outros empregados prejudicados também participam na
qualidade de autores da ação), visando que o tratamento dos seus dados
pessoais seja feito em conformidade com a LGPD, além de eventual
indenização pelos danos sofridos.
- Para garantir o exercício dos direitos pelo titular, o controlador deve:
a. Indicar o Encarregado e divulgar publicamente, de forma clara e objetiva, as

suas informações de contato, de preferência no seu site oficial;
b. Criar um canal de comunicação, que possibilite o acesso aos dados pessoais
e informações sobre as operações de tratamento, como por exemplo:
plataforma, aplicativo ou e-mail específico;
c. Receber os requerimentos por escrito, que devem ser apresentados ao

encarregado ou ao próprio empregador;
d. Adotar procedimentos eficientes e facilitados, para que os empregados

possam, inclusive, acompanhar o andamento dos seus requerimentos.
Requerimento sem Custos ao Titular
O requerimento para o exercício dos direitos será atendido sem custos para o
titular, nos prazos e nos termos previstos em regulamento (§ 5° do artigo 18 da
LGPD).
Prazo para a Resposta
Os direitos do titular serão exercidos mediante seu requerimento expresso, ou o

de seu representante legal, a agente de tratamento (§ 3° do artigo 18). Em caso
de impossibilidade de atendimento imediato do direito, o controlador deve
enviar resposta ao titular dos dados, em que poderá (§ 4° do artigo 18):
1. Comunicar que não é agente de tratamento dos dados e indicar, sempre

que possível, o agente (inciso I do § 4° do artigo 18).
2. Indicar as razões de fato ou de direito que impedem a adoção imediata
da providência(inciso II do § 4° do artigo 18).
A confirmação de existência ou o acesso a dados pessoais serão

providenciados, mediante requisição do titular (Artigo 19 da LGPD):
- Em formato simplificado, imediatamente (inciso I do artigo 19 da LGPD);
- Por meio de declaração clara e completa, que indique a origem dos dados, a
inexistência de registro, os critérios utilizados e a finalidade do tratamento,
observados os segredos comercial e industrial, fornecida no prazo de até 15
dias, contato da data do requerimento do titular (inciso II do artigo 19 da
LGPD).
A autoridade nacional poderá dispor de forma diferenciada acerca dos prazos

referidos prazos, para os setores específicos (§ 4° do artigo 19).
Os dados pessoais serão armazenados em formato que favoreça o exercício

do direito de acesso (§ 1° do artigo 19).
A critério do titular as informações e os dados poderão ser fornecidos (§ 2° do

artigo 19 da LGPD):
- Por meio eletrônico, seguro e idôneo para esse fim (inciso I do artigo 19);
- Sob a forma impressa (inciso II do artigo 19).
Tratamento de Dados
Conceito
Tratamento de dados é toda operação realizada com dados pessoais, como as

que se referem à coleta, produção, recepção, classificação, utilização, acesso,
reprodução, transmissão, distribuição, processamento, arquivamento,
armazenamento, eliminação, avaliação ou controle da informação, modificação,
comunicação, transferência, difusão ou extração (inciso X do artigo 5º da
LGPD).
Com a Lei n° 13.709/2018, o empregador, enquanto controlador, deve adequar

suas rotinas internas para evitar o uso indevido ou vazamento de dados, bem
como, o compartilhamento sem autorização dos seus empregados.
Desde a fase pré contratual até a fase pós contratual, vislumbram-se

procedimentos nos quais haverá o tratamento de dados pessoais, como por
exemplo: o recebimento de currículos, o processo seletivo de candidatos, a
coleta de dados para o contrato de trabalho, ASO (Atestado de Saúde
Ocupacional), o recebimento de atestados médicos, o compartilhamento de
dados com operadores e com órgãos do poder público. Todas essas situações,
que ocorrem diariamente na seara laboral, contemplam o tratamento de dados
pessoais dos empregados, autônomos, aprendizes, estagiários e dos
dependentes dos empregados.
Consentimento Presumidamente Viciado
A CLT traz os conceitos de empregador e de empregado, elencados a seguir:
- Empregador: considera-se empregador a empresa, individual ou coletiva, que,

assumindo os riscos da atividade econômica, admite, assalaria e dirige a
prestação pessoal de serviço (artigo 2º da CLT). Equiparam-se ao empregador,
para os efeitos exclusivos da relação de emprego, os profissionais liberais, as
instituições de beneficência, as associações recreativas ou outras instituições
sem fins lucrativos, que admitirem trabalhadores como empregados (§ 1° do
artigo 2º da CLT).
- Empregado: considera-se empregado toda pessoa física que prestar serviços

de natureza não eventual a empregador, sob a dependência deste e mediante
salário (artigo 3º da CLT).
Observa-se que, na relação de trabalho, as partes não possuem as mesmas

condições (econômicas, técnicas, etc.) para negociação, o que coloca o
trabalhador como parte hipossuficiente desta relação. Dessa forma, além da
subordinação jurídica que é inerente ao vínculo de emprego, segundo a qual o
empregado cumpre ordens do seu empregador, há também, na maioria das
vezes, a dependência econômica da parte hipossuficiente, e daí decorre o
caráter protetivo da legislação trabalhista para a pessoa do trabalhador.
Com base nesta análise, também tem se firmado o posicionamento de que o

tratamento de dados pessoais fundamentado no consentimento deve ser
utilizado de forma restritiva, a situações que de fato, o empregado tenha
oportunidade de se opor livremente, como ocorre, por exemplo, na concessão
de benefícios.
Isto porque, o consentimento, para ser considerado válido, deve representar a

manifestação livre, informada e inequívoca pela qual o titular concorda com o
tratamento de seus dados pessoais para uma finalidade determinada (inciso XII
do artigo 5º da LGPD). Deverá ser fornecido por escrito ou por outro meio que
demonstre a manifestação de vontade do titular.
Assim, na relação de trabalho, o consentimento pode ser colhido mediante

termo escrito específico ou pode constar em cláusula destacada no contrato de
trabalho, ou ainda, pode ser por meio digital, em plataforma, aplicativo ou no
site oficial do controlador (artigo 8º da LGPD).
Deve se referir a finalidades determinadas, de modo que autorizações

genéricas, que não especificam a finalidade, serão consideradas inexistentes (§
4° do artigo 8º da LGPD).
Portanto, sempre que o empregador coletar algum dado do trabalhador, deve

indicar para qual finalidade esse dado será usado.
Por exemplo, para gerar a GFIP e recolher o FGTS, o empregador precisa de

alguns dados obrigatórios do trabalhador, tais como: número do PIS/PASEP ou
inscrição do contribuinte individual; nome civil completo do trabalhador;
endereço completo do trabalhador (logradouro, bairro/distrito, CEP, município e
UF) para recebimento de correspondências da Previdência Social e da CAIXA,;
data de nascimento.
É proibido o tratamento de dados pessoais mediante vício de consentimento (§

3° do artigo 8º), o qual se configura como uma distorção do entendimento da
informação, mediante erro, dolo, ou coação, levando a uma manifestação de
vontade que não corresponde com a verdadeira intenção do trabalhador. E, vale
notar ser do empregador o dever de provar que o consentimento foi obtido em
respeito às regras da LGPD (§ 2° do artigo 8º).
Alteração da Finalidade
Havendo alteração sobre a finalidade específica do tratamento, forma e
duração, a identificação do controlador, e sobre as informações acerca do uso
compartilhado de dados e a finalidade, o empregador deverá informar ao
empregado, especificamente o teor dessas alterações, o qual poderá, nas
situações que exigem o seu consentimento, revogá-lo caso não concorde com
a alteração (§ 6° do artigo 8º da LGPD).
Nas hipóteses que exigem o consentimento, este será considerado inexistente

caso as informações fornecidas ao titular tenham conteúdo enganoso, abusivo
ou não tenham sido apresentadas previamente com transparência, de forma
clara e inequívoca.
Compartilhamento
Conceito
O uso compartilhado de dados é a comunicação, difusão, transferência

internacional, interconexão de dados pessoais ou tratamento compartilhado de
bancos de dados pessoais por órgãos e entidades públicos no cumprimento de
suas competências legais, ou entre esses e entes privados, reciprocamente,
com autorização específica, para uma ou mais modalidades de tratamento
permitidas por esses entes públicos, ou entre entes privados (inciso XVI do
Nas relações de trabalho, o uso compartilhado de dados dos empregados

ocorre, por exemplo, com a contabilidade, com a clínica de medicina
ocupacional, com os tomadores de serviço, entre outros.
Consentimento
O controlador que obteve o consentimento do titular, que necessitar comunicar

ou compartilhar dados pessoais com outros controladores, deverá obter
consentimento específico do titular para esse fim, ressalvadas as hipóteses de
dispensa do consentimento previstas nesta Lei (§ 5° do artigo 7º da LGPD).
Sempre que houver a necessidade de compartilhar dados pessoais do

empregado com operadores ou até mesmo com órgãos do poder público, será
necessário obter o consentimento do empregado, quando esta tiver sido a base
legal que autorizou o tratamento dos dados, e indicar qual é a finalidade do
compartilhamento.
Termo de Consentimento
Sempre que existir a necessidade do consentimento do empregado, para o

tratamento ou compartilhamento dos seus dados pessoais, deverá ser
fornecido por escrito ou por qualquer outro meio que demonstre a
manifestação de vontade do titular (artigo 8º da LGPD). Portanto, firma-se
termo de consentimento escrito, ou ainda, por meio de plataforma, e-mail ou
aplicativo específico do controlador.
Sempre que a finalidade do tratamento for alterada, ou ocorrer

compartilhamento de dados com outros operadores, deve-se obter novo
consentimento do empregado (§ 5° do artigo 7º da LGPD).
Termo de Ciência
Nas hipóteses em que a solicitação de dados pessoais estiver amparada em

base legal diversa do consentimento, recomenda-se que o empregador
formalize um termo de ciência para o empregado assinar, indicando para qual
finalidade está coletando determinado dado pessoal, em respeito ao princípio
da transparência e da autodeterminação informativa, previstos no inciso VI do
artigo 6° e inciso II do artigo 2° da LGPD, respectivamente.
No termo de ciência, o empregador deve dar conhecimento ao trabalhador

quanto à existência de compartilhamento dos dados com operadores, e até
mesmo com o Poder Público, para fins de cumprimento de obrigações
acessórias. Neste sentido, cabe ao empregador comunicar o trabalhador que
os seus dados pessoais estão sendo compartilhados com o escritório de
contabilidade, de advocacia, empresa de call center, clínicas de saúde
ocupacional, sindicato, entre outros.
Sempre que ocorrer a necessidade de alteração quanto tratamento ou

compartilhamento de determinado dado, o termo de ciência deve ser
atualizado.
Recrutamento e Seleção
O recrutamento corresponde à atração de candidatos para uma oportunidade
de emprego, enquanto, na seleção, o objetivo é analisar e escolher o
profissional que se enquadre no perfil da vaga a ser preenchida.
Com a LGPD, em cada uma dessas etapas, será necessário, preliminarmente,

observar os princípios da necessidade e da finalidade, segundo os quais não
será permitido coletar ou receber dados que não atendam a um fim específico.
Via de regra, o consentimento do candidato, atrelado a uma finalidade legítima,

é o fundamento que autoriza a coleta e armazenamento dos dados nessa fase
pré contratual (inciso I do artigo 7° e inciso II do artigo 11 da LGPD).
Orienta-se, portanto, que alguns questionamentos sejam feitos antes do início

do processo de recrutamento, para que ocorra em conformidade com a LGPD,
tais como:
1. Quais dados, inclusive sensíveis, precisam ser coletados?
É preciso verificar, diante da vaga ofertada, quais são as informações

necessárias para avaliar o candidato, sendo que aquelas excessivas devem ser
dispensadas. Dados que serão utilizados apenas na contratação também não
devem ser solicitados ou recebidos nessas etapas.
2. Há base legal para coleta dos dados?
Como regra, deve haver o consentimento para coleta dos dados, os quais
devem também estar vinculados a uma finalidade. Assim, informações apenas
úteis, interessantes ou importantes, porém desnecessárias, ainda que com
consentimento do candidato, não podem ser coletados. Esta conduta, além de
medida de adequação, representa, aos agentes de tratamento, menor risco de
incidente de segurança.
Cabe ao controlador também indicar ao candidato o modo pelo qual poderá

manifestar a revogação do seu consentimento (e-mail, plataforma, site oficial,
requerimento escrito, etc.) ou exercer seus direitos, por exemplo, de
confirmação e acesso, correção, atualização, portabilidade dos dados, dentre
outros.
3. Por quanto tempo os dados serão guardados?
Para a retenção dos dados coletados em processo de recrutamento e seleção,

é essencial avaliar e determinar o período em que os mesmos permanecerão
atingindo sua finalidade, assim constando expressamente no termo de
consentimento, e ainda sendo controlados através de uma Gestão de
Currículos.
4. Qual o meio do tratamento dos dados, físico ou eletrônico?
A definição da forma em que os dados são recebidos, analisados,

armazenados e descartados é parte essencial para verificar se há operação de
tratamento que deve ser dispensada ou adequada à LGPD. Por exemplo, ajuste
de cláusula contratual com empresas parceiras de banco de currículos.
5. Quais as medidas de segurança aplicadas aos dados?
Desde o recebimento dos dados, passando pela seleção do candidato ou

descarte das informações, por todo esse processo, é preciso que medidas de
segurança técnicas e administrativas sejam empregadas.
6. Qual o meio utilizado para a eliminação dos dados?
Como a LGPD estabelece o descarte dos dados após o atingimento da sua

finalidade ou ausência da autorização para sua retenção, os agentes de
tratamento devem adotar procedimento para garantir o descarte seguro e
efetivo dos dados coletados em processo de recrutamento e seleção, para os
quais não houve contratação.
Dados Sensíveis
Os dados sensíveis são aqueles capazes de gerar preconceito ou
discriminação a uma pessoa física, para os quais são citados como exemplo,
origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato,
estado civil, número de filhos, dado referente à saúde que indique doença pré-
existente, ou à vida sexual, dado genético ou biométrico, quando vinculado a
uma pessoa física (artigo 5º, inciso II da LGPD).
A Lei n° 9.029/95 proíbe a adoção de qualquer prática discriminatória e

limitativa para efeito de acesso à relação de trabalho, ou de sua manutenção,
por motivo de sexo, origem, raça, cor, estado civil, situação familiar, deficiência,
reabilitação profissional, idade, entre outros, ficando ressalvadas, no caso de
idade, a proteção à criança e ao adolescente, asseguradas no inciso XXXIII do
artigo 7° da Constituição Federal de 1988.
Na fase de recrutamento de candidatos, caso exista a necessidade de coletar

dados sensíveis, essas informações apenas podem ser obtidas com o
consentimento do candidato, cabendo ao agente de recrutamento indicar a
finalidade específica a qual se destina e adotar medidas de segurança com
maior rigor (inciso I do artigo 11 da LGPD).
Condutas Proibidas
A obtenção de certos dados configura prática discriminatória. Assim, é
necessário ter cautela quanto aos dados obtidos mediante as condutas
listadas a seguir:
1. Certidão de Antecedentes Criminais
A exigência de certidão de antecedentes criminais de candidato a emprego,

quando não se justificar em previsão legal, na natureza do ofício ou no grau
especial de confiança exigido, não é legítima, caracterizando discriminação,
independentemente de ter ocorrido à admissão. Assim, além de gerar lesão
moral, é passível de caracterizar também violação à LGPD.
Com isso, essa certidão apenas pode ser solicitada, no processo de seleção do
candidato em análise, quando o posto de trabalho justificar tal consulta e para
um objetivo direcionado. Considerando que a coleta de dados em processo
seletivo fundamenta-se no consentimento, a finalidade para este dado deve
relacionar o cumprimento de previsão legal, natureza do ofício ou grau de
confiança exigido para a função.
São exemplos que autorizam a coleta deste dado as funções que exijam o
manuseio ou transporte de dinheiro, conforme artigo 16 da Lei n° 7.102/83.
Nesta hipótese, a solicitação de certidão de antecedentes criminais será
possível em razão de previsão legal.
2. Consulta aos Órgãos de Proteção de Crédito
Realizar consultas junto aos órgãos de proteção de crédito (SERASA e SPC)

não são meios permitidos pela doutrina e pela jurisprudência para fins de
contratação de empregados, já que têm como objetivo a proteção ao crédito e
não a inserção no mercado de trabalho. Portanto, estão atreladas às relações
de consumo, não podendo ser utilizadas para desclassificar o candidato a
emprego. Enquadram-se como práticas discriminatórias, com fundamento nos
artigos 1° e 2° da Lei n° 9.029/95.
3. Declaração de Bons Antecedentes Funcionais
A carta de recomendação, declaração de boas referências ou bons

antecedentes funcionais é um ato facultativo do empregador, pois a lei não
obriga o fornecimento. No entanto, as normas coletivas da categoria podem
conter previsões neste sentido.
Essa declaração não compõe o rol dos documentos exigidos para a

contratação. Assim, não há amparo legal que autorize o empregador a exigir do
candidato declarações de bons antecedentes funcionais, ou buscar
informações da vida profissional pregressa do candidato com empregadores
anteriores. Tal prática, inclusive, pode configurar o compartilhamento indevido
de dados pessoais sem a autorização do titular, o que viola as regras de
proteção de dados (§ 5° do artigo 7° da LGPD).
Além do mais o empregador está proibido de efetuar anotações ou emitir

declarações desabonadoras à conduta do empregado, em respeito ao princípio
fundamental da dignidade da pessoa humana (§ 4° do artigo 29 da CLT e inciso
X do artigo 5° da CF/88). Ainda, é proibida a adoção de qualquer prática
discriminatória e limitativa para efeito de acesso à relação de trabalho (artigo
1° da Lei n° 9.029/95).
Por outro lado, é permitido solicitar do candidato, para fins de contratação, a

comprovação de experiência anterior na mesma atividade por até seis meses,
por autorização do artigo 442-A da CLT.
4. Teste de Gravidez e Esterilização

A solicitação deste exame, além de proibida para fins de adequação à LGPD,
configura o crime previsto na Lei n° 9.029/95. Serão considerados autores
desses crimes tanto a pessoa física empregadora, quanto o representante legal
do empregador, como definido na legislação trabalhista.
Portanto, não é permito solicitar exames de gravidez na fase de recrutamento,

tão pouco, durante o contrato de trabalho ou no momento da rescisão
contratual, por configurar prática discriminatória e infração às normas
trabalhistas e de proteção de dados.
5. Informações sobre Filhos e Equiparados
O dado relativo ao número de filhos (menor sob guarda, enteados que sejam
dependentes economicamente) também pode ser considerado como sensível,
visto que, em certos casos pode levar a desclassificação do candidato.
Portanto, apenas poderá ser obtido na fase de seleção, caso o cargo ofertado
tenha remuneração compatível com o teto máximo para pagamento do
benefício do salário família ou para fins de declaração de imposto de renda.
Além disso, perguntas sobre a existência de dependentes (descendentes ou

ascendentes) também podem ocorrer quando o contratante ou o instrumento
coletivo oferece benefícios que são estendidos a eles, a exemplo de plano de
saúde, plano odontológico, convênios em clubes de recreação, etc.
O candidato deve ser informado sobre a finalidade da coleta do dado e

manifestar seu consentimento, que deve ser obtido mediante indicação da
finalidade específica (artigo 8° da LGPD).
6. Exame Toxicológico - Confirmar GT

Este exame é exigido anteriormente à contratação, periodicamente e na
rescisão do contrato de trabalho, quando se tratar de motorista profissional,
observado procedimento específico para sua realização (§ 6° do artigo 168 da
CLT).
Entretanto, mesmo que se trate de exame médico obrigatório para o motorista
profissional, ele não compõe o Programa de Controle Médico de Saúde
Ocupacional - PCMSO, previsto na Norma Regulamentadora n° 07, conforme
item 1.3, alínea "a" da Portaria MTPS n° 116/2015. Dessa forma, mesmo que o
resultado seja positivo para substâncias psicoativas, não há impedimento para
a contratação do trabalhador.
A finalidade do exame toxicológico refere-se à segurança no trânsito e não a
verificação da aptidão do trabalhador, portanto, não pode ser utilizado como
critério de seleção.
É importante mencionar que este exame apenas poderá ser realizado após a
conclusão do processo seletivo, ou seja, quando o trabalhador já foi
comunicado que será contratado. E, como revela dados da saúde de
trabalhador, mesmo diante de cumprimento de previsão legal, é recomendado
que seja realizado mediante consentimento.
Temas Controvertidos
1. Questionamento sobre Gênero
O dado gênero (feminino, masculino, outro), em regra, não é considerado como

um dado sensível. No entanto, a depender da finalidade, poderá ser assim
caracterizado.
Como exemplo, pode-se imaginar a hipótese em que o candidato apresenta sua

identificação civil com o nome masculino (Exemplo: Gabriel), porém, a sua
identificação social com nome feminino (exemplo: Gabriela). Neste caso, o
dado gênero vai revelar um dado sensível - orientação sexual do candidato. Por
esta razão, no processo de recrutamento é necessário adotar a devida cautela
quanto a obtenção deste dado.
Nesta etapa, os dados sensíveis poderão ser obtidos desde que seja para
cumprir a Lei, visando a proteção do trabalhador e mediante consentimento
que indique a finalidade específica (artigo 8° da LGPD). Portanto, será
necessário analisar, se realmente, a função justifica a obtenção do dado gênero
do candidato.
Diante desta situação, cabe mencionar as regras de proteção ao trabalho da

mulher (artigos 372 a 400 da CLT). Por exemplo, o artigo 390 da CLT proíbe o
empregador de contratar a mulher em serviço que demande o emprego de
força muscular superior a 20 quilos para o trabalho continuo ou 25 quilos para
o trabalho ocasional. Nesta hipótese, caso a função oferecida exija o emprego
de força muscular superior aos limites impostos pela CLT, o empregador
necessita coletar o dado gênero durante o processo seletivo, mediante
indicação da finalidade específica e consentimento.
2. Monitoramento em Redes Sociais
É cada vez mais comum o uso constante das redes sociais, inclusive para
recrutamento de candidatos, de acordo com perfis que sejam compatíveis com
a política do empregador. Para tanto, utilizam-se de informações públicas
lançadas na internet pelo titular dos dados.
Não é rara a solicitação, pelos recrutadores, da indicação da rede social do

candidato, como Instagran, Facebook, Linkedin, com o objetivo de avaliar o seu
perfil comportamental. Entretanto, esta análise pode levar a não contratação do
candidato e tal resultado pode ser entendido como um ato discriminatório.
Na hipótese em que se está diante de um perfil público no Linkedin, entende-se

inicialmente, que não haveria violação a LGPD, já que o titular dos dados tornou
públicas as informações constantes em seu perfil profissional, inclusive porque
a página possui a finalidade de divulgar competências profissionais.
Já as redes sociais como Facebook ou Instagran não possuem, em regra, uma

finalidade de perfil profissional e, geralmente, são utilizadas para publicações
que dizem respeito à vida pessoal do titular.
Diante de um perfil público de contas do Instagran ou Facebook, o recrutador

não estaria impedido de obter dados que já foram tornados públicos pelo
titular. Entretanto, a prática pode ser entendida como discriminatória, podendo
caracterizar violação à LGPD, além de pagamento de indenização por dano pré
contratual ou perda de uma chance, caso os dados obtidos sejam usados
contra o seu titular, causando prejuízo no processo seletivo como a
desclassificação, por exemplo.
Além do mais, segundo o artigo 21 da Lei n° 13.709/2018, os dados pessoais

referentes ao exercício regular de direitos pelo titular não podem ser utilizados
em seu prejuízo. Assim, a exposição da livre manifestação do pensamento em
redes sociais, como opiniões políticas ou religiosas, por exemplo, não pode ser
usada pelo controlador em desfavor do candidato.
A LGPD ainda ditou que fica dispensada a exigência do consentimento para os

dados tornados manifestamente públicos pelo dono dos dados, porém, devem
ser respeitados os direitos do titular e os princípios da LGPD, conforme § 4 do
artigo 4°.
Diante disso, em um primeiro momento, o entendimento é que o controlador

deve agir com cautela quando buscar dados nas redes sociais públicas do
candidato, a fim de que tal conduta não caracterize discriminação e violação à
LGPD.
3. Organizações de Tendência
As empresas ou instituições que possuem em sua atividade uma intenção

ideológica ou de crença, como por exemplo, entidade religiosa, partido político,
sindicato de classe, escola militar, entre outras, são considerados como
“criadores de tendência”, ou seja, por meio da atividade que exercem, seja com
finalidade lucrativa ou não, estão buscando refletir a sua posição ideológica e
influenciar pessoas a praticarem essa ideologia.
São amparadas no fundamento constitucional da livre iniciativa, previsto no

artigo 1°, inciso IV da CF/88, que reflete a liberdade de desenvolver uma
atividade econômica. Essas organizações se sujeitarão as regras da LGPD,
notadamente porque sua atividade envolve o tratamento dos dados sensíveis.
Alguns questionamentos podem surgir quando se está diante de uma
organização de tendência, como:
- As organizações religiosas podem contratar apenas pessoas que professem a

mesma religião que elas?
- Os partidos políticos têm o direito de contratar trabalhadores que expressam

apenas a mesma opinião política?
Nota-se que haverá um conflito de interesses e de princípios, entre o candidato

a emprego e a empresa, pois, nestas hipóteses, de um lado estará presente a
liberdade de religião ou de convicção política e, de outro lado, o direito da
empresa a livre iniciativa econômica.
Para parte da doutrina, o trabalhador poderia, temporariamente, deixar de

exercer o seu direito de crença religiosa ou convicção política durante um
contrato de trabalho para não adotar postura contrária a tendência do seu
empregador. Por este posicionamento, não caberia, na seleção, o
questionamento da convicção religiosa ou política do candidato. No entanto,
trata-se apenas de entendimento e cada caso deverá ser apreciado levando-se
em conta as suas peculiaridades.
Diante da recente Lei Geral de Proteção de Dados, caberá ao poder judiciário

pacificar a jurisprudência quanto a esses assuntos polêmicos, por meio da
aplicação do princípio da razoabilidade.
Candidatos não Selecionados

Com a LGPD, o controlador não pode manter dados do candidato armazenados
por tempo indeterminado, diante da ausência de autorização legal.
Para que os dados sejam mantidos para futuras contratações, deverá obter o
consentimento específico do titular, informando:
- Forma de guarda dos dados (meio físico ou digital);
- Prazo para o armazenamento;
- Garantia de revogação do consentimento por meio fácil (mediante envio de e-

mail, no site oficial da empresa, plataforma ou aplicativo específico, ou ainda
por meio expresso), a qualquer tempo e sem custo;
- Meios em que poderá exercer seus direitos, como correção, atualização ou

portabilidade dos dados (artigo 18 da LGPD).
Ocorrendo a revogação do consentimento ou atingido o prazo de
armazenamento, os dados devem ser eliminados imediatamente pelo
controlador de forma segura.
Boas Práticas
Para adequação à LGPD nas rotinas trabalhistas, especialmente na fase pré-
contratual, é recomendável estabelecer um procedimento padrão de
conformidade, para o qual segue uma sugestão:
1º Passo: Recebimento de Currículos
Documento Físico
Deve ser recebido por funcionário autorizado e treinado, a fim de manter a

segurança dos dados. Além do mais, é recomendado que o currículo seja
entregue em envelope e acompanhado do termo de consentimento do
candidato, o qual pode ser disponibilizado para ser conferido e assinado pelo
candidato no momento da entrega do currículo (inciso I do artigo 7°, artigo 8°,
inciso I do artigo 11, artigo 46 todos da LGPD).
Caso o currículo contenha informações sobre dados sensíveis, desnecessários

ou em excesso, a empresa pode se recusar a recebê-lo e solicitar que o
candidato adeque o documento ao estabelecido pela LGPD.
Após o recebimento, o currículo deve ser repassado ao controlador, analisado

apenas por pessoas que façam parte do processo seletivo e arquivado em local
seguro e específico para o armazenamento.
Documento Digital
Quando entregue eletronicamente (site oficial do empregador, e-mail,

plataforma ou aplicativo específico), cabe à empresa adequar o seu site ou
plataforma oficial, para que no momento do envio do currículo o candidato já
manifeste o seu consentimento (inciso I do artigo 7°, artigo 8°, inciso I do artigo
11, artigo 4° todos da LGPD).
Do mesmo modo, caso a empresa receba currículos por e-mail, deve ser
direcionado para um responsável autorizado para receber esse documento.
Importante informar o padrão de currículo aceito e o não recebimento de dados

desnecessários e em excesso.
Neste termo, devem constar as finalidades específicas para coleta de cada
dado, a forma de exercício dos direitos de titular, a garantia de revogação,
prazo de retenção e a forma de descarte, cabendo ao candidato o direito de
revogar o consentimento a qualquer momento, por procedimento expresso,
gratuito e facilitado (§ 5° do artigo 8° e inciso IX do artigo 18 da LGPD).
2º Passo: Cautelas
Nas entrevistas, testes e provas técnicas, o controlador deve ter atenção

quanto às condutas que devem ser evitadas, além de analisar os dados
necessários nesta etapa e para qual finalidade. Dados que serão utilizados
apenas na contratação não devem ser solicitados ou recebidos nessas etapas.
Portanto, alguns dados somente poderão ser solicitados em casos bem

específicos (dados sensíveis, certidão de antecedentes criminais, redes sociais,
organizações de tendência, gênero, filhos ou equiparados) e outros devem ser
evitados (consulta de crédito, pedidos de referência e bons antecedentes
funcionais, teste de gravidez e esterilização).
Em relação às avaliações psicológicas, quando a empresa utiliza este tipo de

teste ou ferramenta de inteligência artificial em seu processo de recrutamento,
deve analisar se a vaga ofertada demanda competências que podem ser
identificadas por meio destas avaliações. Como se tratam de informações que
podem revelar dados sensíveis, já que traçam a personalidade e o perfil
comportamental do candidato, podem ser obtidas apenas mediante
consentimento específico e desde que a finalidade esteja justificada.
Ainda, buscar informações sobre ações trabalhistas movidas pelo candidato

reflete conduta discriminatória, uma vez que o exercício do direito de ação não
pode ser fato impeditivo à obtenção de novo emprego.
3° Passo: Candidatos não Selecionados
Os agentes de tratamento devem estabelecer um procedimento para os dados

de candidatos não selecionados, através de uma gestão de currículos, com os
seguintes controles:
- Armazenamento em seu banco de dados, para futuras seleções, mediante

consentimento do titular, constando a forma de guarda e prazo para o
armazenamento;
- Eliminação de forma segura, evitando vazamentos e uso indevido.
4º Passo: Medidas de Segurança

As medidas de segurança, técnicas e administrativas, devem ser capazes de
proteger os dados pessoais de acessos não autorizados e de situações
acidentais ou ilícitas de destruição, perda, alteração, comunicação, ou qualquer
forma de tratamento inadequado ou indevido (artigo 46 da LGPD). Os sistemas
utilizados devem ser estruturados de forma a atender aos requisitos de
segurança, aos padrões de boas práticas, de governança, aos princípios da
LGPD e às demais normas regulamentares (artigo 49 da LGPD).
5º Passo: Direito dos Titulares
Os agentes de tratamento devem garantir aos titulares os meios de exercício

dos seus direitos, de forma acessível, facilitada, gratuita e a qualquer tempo,
inclusive quanto ao direito de revogação do consentimento e correção dos
dados.
Dados Pessoais na Admissão

Para a admissão do empregado, é necessário que o empregador realize a
coleta de vários dados pessoais, o que deve estar em conformidade com as
diretrizes também da LGPD.
Por este motivo, é dever do controlador identificar quais dados pessoais são
estritamente necessários, suas finalidades e as bases legais que amparam o
seu tratamento, sendo que se deve buscar a que seja mais específica e
proporcione maior segurança, cabendo inclusive fundamentar-se em mais de
uma.
Como regra geral, a execução do contrato, o cumprimento de obrigação legal e

o exercício regular de direito, previstos, respectivamente, nos incisos II, V e VI
do artigo 7° da LGPD, mostram-se como hipóteses recorrentes que autorizam o
tratamento de dados durante a relação contratual. Entretanto, em situações
específicas, é possível ainda fundamentar-se no legítimo interesse, proteção da
vida e no consentimento.
Simplificação do eSocial
A Simplificação do eSocial, que corresponde ao cumprimento de uma

obrigação legal prevista no artigo 225 do Decreto n° 3.048/99, promoveu
alterações importantes no envio deste sistema, ao reduzir o número de eventos
e campos, e utilizar apenas o CPF como identificação única do trabalhador, o
que refletiu diretamente na fundamentação para coleta de dados pessoais nas
relações trabalhistas.
A seguir, são apresentados, em linhas gerais, documentos frequentemente
solicitados na admissão e no decorrer do contrato de trabalho, com finalidades
e bases legais possíveis. Ressalta-se que os enquadramentos são de
responsabilidade de cada empregador e podem variar conforme a análise de
cada caso, em razão da natureza e objetivos do contrato, bem como
disposições de normas coletivas:
Dado Pessoal Observações
Dado pessoal: nome do trabalhador
Nome do Finalidade: identificação do trabalhador para a

Trabalhador qualificação cadastral e registro do empregado
Base legal: cumprimento de obrigação legal e execução

do contrato
Dado pessoal: CPF do trabalhador ou CTPS física

excepcionalmente
Finalidade: anotação do contrato de trabalho, conforme

artigo 29 da CLT
Bases legais possíveis: cumprimento de obrigação legal

CTPS
De acordo com a Lei n°13.874/2019, a CTPS física foi
Carteira de
substituída pela CTPS digital. Com isso, a anotação do
Trabalho e contrato de trabalho neste documento passou a ser
Previdência cumprida por meio do envio do Evento S-2200 ao
Social eSocial, utilizando-se o número do CPF do trabalhador
Dentre outros dispositivos, a Lei n° 13.874/2019 alterou

os artigos 13 e 14 da CLT para constar que a CTPS
deverá ser emitida, preferencialmente em meio
eletrônico, sendo adotada a CTPS física somente em
caráter excepcional, de modo que, como regra, não deve
mais ser solicitada
CPF
Dado pessoal: número de inscrição no cadastro de pessoa
física
Finalidade: identificar o trabalhador, tanto para o

eSocial, conforme Leiautes do eSocial Versão S-1.0,
como para a Receita Federal, com base no artigo 32 do
Decreto n° 9.580/2018
Dado pessoal: número de inscrição no PIS/PASEP
Finalidades:
- Depósito do FGTS, conforme Manual de

Recolhimentos Mensais e Rescisórios ao FGTS; e
- Concessão do abono salarial, de acordo com o artigo 9°

da Lei nº 7.998/90.
Bases legais possíveis: cumprimento de obrigação legal e

execução do contrato
Inscrição no Primeiro Emprego
PIS/PASEP
Quando se tratar de primeiro emprego, é dever do
empregador realizar o cadastro do trabalhador no PIS,
conforme Circular CAIXA n° 659/2014
Dados pessoais: nome completo, data de nascimento,

sexo, nome do pai e da mãe, nacionalidade, país de
origem, estado e município de nascimento, cor, estado
civil e nível de instrução
Finalidade: realização de cadastro do trabalhador no

PIS/PASEP
Carteira de
Identidade Muito embora o Registro Geral (RG) tenha como
objetivo identificar o cidadão em todo o território
nacional, conforme previsto no artigo 6° da Lei nº
7.116/83 e no artigo 9° do Decreto n° 9.278/2018, a
partir da versão Simplificada do eSocial, este documento
deixou de estar previsto na relação de informações
cadastrais do empregado a serem enviadas no evento S-
2200, de acordo com os Leiautes do eSocial Versão S-
1.0
Além disso, essa informação também não é necessária

para o envio da GFIP/SEFIP, RAIS e Registro Eletrônico
Assim, para que este dado pessoal possa ser solicitado, é

preciso identificar sua finalidade e fundamentá-la
corretamente em uma das bases legais previstas no artigo
7° da LGPD, o que dependerá da análise e necessidade
de cada empregador
Dado pessoal: número de inscrição. Exemplos: CREA

para engenheiros; OAB para advogados; CRM para
médicos, entre outros
Carteira Finalidade: identificar o profissional atuante em
Profissional atividade regulamentada por lei, uma vez que o registro é
condição indispensável para o exercício da profissão,
conforme legislação de cada atividade
Base legal possível: cumprimento de obrigação legal
É um documento dispensável para a constituição do

vínculo de emprego. No entanto, é essencial que o
trabalhador esteja com suas obrigações eleitorais em dia,
visto que, caso contrário, poderá gerar divergência no
CPF, impedindo sua qualificação cadastral no eSocial,
Título de conforme Manual de Orientações do eSocial, versão
Eleitor 2.5.01

de cada empregador
Este documento não consta como de exigência

obrigatória para os Leiautes do eSocial, nem previsto em
legislação trabalhista como responsabilidade do
empregador da esfera privada
A obrigação de exigir o certificado de reservista se aplica

Certificado de aos empregadores de empresas públicas ou que
Reservista ou necessitam de autorização ou reconhecimento do
de Alistamento governo federal, estadual ou municipal, segundo artigo
Militar 74 da Lei n° 4.375/64

de cada empregador
CNH (Carteira
Nacional de Finalidade: identificar a autorização do trabalhador para
Habilitação) se dirigir, quando a função exigir, conforme artigo 140 da
Lei n°9.503/97
Base legal possível: cumprimento de obrigação legal
a função exigir Desta maneira, quando ocorrer a contratação de

trabalhador para desempenhar atividades relacionadas ao
uso de veículo automotor, como é o caso do motorista
profissional, a apresentação da CNH é obrigatória, ainda
que não haja envio dessa informação ao eSocial
Simplificado
Finalidade: identificação do empregado, por exemplo,

para acesso às dependências do empregador, livro de
registro e crachá
Foto Bases legais possíveis: execução do contrato, legítimo

interesse do empregador, proteção da vida ou da
incolumidade física do titular e consentimento. Este
último será necessário quando a divulgação da foto tiver
relação com o direito de imagem do trabalhador,
conforme artigo 5°, inciso X, da CF/88
É um dado pessoal sensível
Finalidades:
- Cumprir e fazer cumprir as normas de segurança e

medicina do trabalho, nos termos do inciso I do artigo
157 da CLT;
Atestado - Obrigatório exame médico na admissão,

Médico, de periodicamente e na demissão, de acordo com o artigo
Saúde 168 da CLT e NR 07;
Ocupacional,
Exame - Obrigatório o exame toxicológico no caso de
contratação de motorista profissional, conforme artigo
Toxicológico
168 da CLT;
- Comprovação da falta justificada do empregado e da

responsabilidade do empregador pelo pagamento de
salário referente aos 15 primeiros dias de afastamento,
segundo alínea f, do § 1° do artigo 6° da Lei n° 605/49 e
artigo 75 do Decreto n° 3.048/99.
Certidão de
Casamento Finalidade:
- Concessão da licença casamento prevista no inciso I do
artigo 473 da CLT;
- Concessão de benefícios ao cônjuge por liberalidade do

empregador ou em razão de previsão em instrumentos
coletivos.
Bases legais possíveis: cumprimento de obrigação legal,

execução do contrato e consentimento. O consentimento
se aplica no caso de concessão de benefícios, para os
quais o empregado pode se opor
Finalidades:
- Concessão do salário família, a depender da faixa

salarial do empregado, conforme artigo 84 do Decreto
n° 3.048/99;
- Licença maternidade, de acordo com o artigo 392 da

CLT;
Certidão de
Nascimento de - Licença paternidade, segundo inciso XIX do artigo 7º
Filhos da CF/88;
- Concessão de benefícios aos dependentes por

liberalidade do empregador ou em razão de previsão em
instrumentos coletivos.
Bases legais possíveis: cumprimento de obrigação legal,

execução do contrato e consentimento. O consentimento
se aplica no caso de concessão de benefícios, para os
quais o empregado pode se opor
Registro dos
Empregados Além dos dados listados acima, a Portaria SPREV/ME nº
1.195/2019 prevê, em seu artigo 2º, que compõem o
Portaria registro de empregados os dados relativos à admissão no
SPREV/ME Nº emprego, duração e efetividade do trabalho, férias,
1.195/2019 acidentes e demais circunstâncias que interessem à
proteção do trabalhador, dentre outros:
- Nome completo, sexo, grau de instrução, endereço,

nacionalidade, CPF, Data de nascimento;
- Nome e dados cadastrais dos dependentes;
- Informação de empregado com deficiência ou

reabilitado;
- Data de admissão, Matrícula do empregado e

Categoria do trabalhador;
- Natureza da atividade (urbano/rural), Código da

Classificação Brasileira de Ocupações - CBO
e Descrição do cargo e/ou função;
- Valor do salário contratual e

Descrição do salário variável, quando for o caso;
- Afastamento por acidente ou doença relacionada ao

trabalho, com duração não superior a 15 dias,
Afastamento temporários e Informações relativas ao
monitoramento da saúde do trabalhador;
- Dados de desligamento, cujo motivo não gera direito ao

saque do FGTS;
- Informação em razão de acidente ou doença

relacionados ou não ao trabalho e o acidente de trabalho
ou doença profissional que resulte morte.
Esses dados terão como finalidade o registro do

empregado, para os fins da Portaria SPREV/ME nº
1.195/2019, fundamentando-se no cumprimento de
obrigação legal
Dados Pessoais Sensíveis

Dados pessoais sensíveis são aqueles capazes de gerar discriminação contra o
seu titular, os quais são exemplificados na Lei Geral de Proteção de Dados
como aqueles que se referem à origem racial ou étnica, convicção religiosa,
opinião política, filiação a sindicato ou a organização de caráter religioso,
filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou
biométrico, quando vinculado a uma pessoa natural (inciso II do artigo 5º
da LGPD).
Nas relações de trabalho, é possível identificar dados pessoais sensíveis nas

seguintes práticas:
- Reconhecimento facial e dados biométricos, utilizados para acesso a empresa
ou controle de jornada;
- Monitoramento por câmeras de segurança instaladas no espaço físico da

empresa;
- Monitoramento de e-mail corporativo;
- Monitoramento de redes sociais ou uso de WhatsApp por grupo de trabalho.
O tratamento de dados pessoais sensíveis poderá ocorrer para finalidades

específicas quando fundamentado em uma das hipóteses do artigo 11 da
LGPD, sendo para s relações contratuais trabalhistas, terão maior aplicação:
- Cumprimento de obrigação legal ou regulatória (alínea a do inciso II);
- Exercício regular de direitos, inclusive em contrato (alínea d do inciso II);
- Proteção da vida ou da incolumidade física do titular (alínea e do inciso II);
- Garantia da prevenção à fraude e à segurança do titular, nos processos de

identificação e autenticação de cadastro em sistemas eletrônicos (alínea g do
inciso II); e
- Consentimento (inciso I).
Nota-se que, ao contrário do que ocorre com os dados pessoais, o legítimo

interesse do controlador não é causa autorizadora do tratamento de dados
pessoais sensíveis.
Outra base legal que chama a atenção é o exercício regular de direitos, em

contrato e em processo judicial, administrativo e arbitral, independentemente
do consentimento do titular. Para os dados pessoais sensíveis, essa hipótese
não está restrita ao processo, sendo extensível ao contrato.
Assim, há entendimento de que o exercício regular do direito legitimará o

tratamento de dados pessoais sensíveis, sem o consentimento do titular, pelas
organizações de tendência, as quais podem ser conceituadas como empresas
que expressam determinado valor ou crença em sua atividade. Como exemplo,
é possível citar partidos políticos e ordens religiosas.
Em se tratando de dados pessoais sensíveis, as situações listadas a seguir

merecem atenção do controlador.
1. Dados Relacionados à Saúde do Trabalhador
É dever do controlador instituir um procedimento claro e adequado para o

recebimento e armazenamento de dados relacionados à saúde do trabalhador,
o que deve ser previsto em Regulamento Interno, devidamente divulgado. O
Regulamento inclusive deve indicar as operações de tratamento que serão
realizadas e suas finalidades.
Quando apresentado o documento físico, deve ser direcionado à pessoa
autorizada e treinada para recebê-lo. Caso seja enviado por meio digital, o
controlador deve indicar os meios específicos para a transmissão desse
documento.
Via de regra, o empregador estará amparado no cumprimento de dever legal

para realizar o tratamento de dados médicos do empregado. No entanto, em
respeito aos princípios do artigo 6° da LGPD, cabe ao controlador dar ciência ao
empregado do tratamento que será realizado e de sua respectiva finalidade.
PCMSO - Programa de Controle Médico de Saúde Ocupacional
O artigo 168 da CLT determina e a NR 07 regulamenta a obrigatoriedade da

realização de exame médico, por conta do empregador, na admissão, na
demissão e periodicamente. E ainda, prevê a CLT a exigência de exames
toxicológicos, previamente à admissão e por ocasião do desligamento, quando
se tratar de motorista profissional (§ 6° do artigo 168 da CLT).
Portanto, a finalidade do tratamento será o cumprimento das normas de

segurança e medicina do trabalho, nos termos do inciso I do artigo 157 da CLT;
E ainda, em caso de contratação de clínica de medicina ocupacional, é

indispensável conferir se este operador está adequado ao cumprimento da
LGPD, devendo constar no contrato de prestação de serviços, cláusulas sobre a
proteção e o tratamento de dados pessoais dos empregados e os termos do
compartilhamento.
Atestado Médico
O objetivo do tratamento é o lançamento de ausência justificada do

empregado, o pagamento, pelo empregador, dos 15 primeiros dias de
afastamento, conforme artigo 75 do Decreto n° 3.048/99, e o envio das
informações por meio da GFIP e do eSocial, o que caracterizará
compartilhamento de dados com o Poder Público para cumprimento de
obrigações acessórias.
CID (Classificação Internacional de Doenças) em Atestado Médico
A Resolução CFM n° 1.658/2002, no artigo 3°, estabelece que o atestado

médico apenas pode conter o diagnóstico quando expressamente autorizado
pelo paciente. Caso não haja a autorização, o médico não poderá apor o CID,
sob pena de violação à intimidade do titular (inciso X do artigo 5° da CF/88).
Entretanto, a informação do código da CID será obrigatória na CAT

(Comunicação de Acidente de Trabalho), por se tratar de evento de notificação
compulsória, conforme artigo 22 da Lei n° 8.213/91, artigo 169 da CLT e
Portaria SEPRT/ME n° 4.334/2021. Esta informação inclusive deve ser enviada
ao eSocial no evento S-2210.
Assim, é importante que o empregador, ao receber um atestado médico com

indicação da CID, observe, via de regra, se há consentimento expresso do
empregado. Caso contrário, o recomendado é firmar termo de consentimento,
já que se trata dado sobre a saúde do trabalhador (inciso II do artigo 5º da
LGPD).
Já no caso de acidente de trabalho, a indicação deste dado no atestado estará

fundamentada no cumprimento de dever legal.
2. Dados Biométricos
Os dados biométricos não dizem respeito apenas às digitais do trabalhador,

mas também à voz, ao reconhecimento facial, íris, entre outros.
Geralmente o empregador coleta dados biométricos para o acesso às

dependências da empresa ou para o controle da jornada.
No que diz respeito ao controle de jornada, de acordo com a CLT, para os

estabelecimentos com mais de 20 trabalhadores, será obrigatória a anotação
da hora de entrada e de saída, em registro manual, mecânico ou eletrônico (§ 2°
do artigo 74 da CLT). Neste sentido, a Portaria MTE nº 1.510/2009
regulamentou o uso do registro de ponto eletrônico, permitindo a coleta de
dados biométricos do trabalhador.
Como se trata de dado sensível, há entendimento de que o empregador deveria

optar por outro meio de controle de jornada, como o manual ou mecânico, para
evitar coletar dados sensíveis do empregado.
Por outro lado, há quem defenda que o controle de ponto eletrônico é meio
mais fidedigno para anotar a jornada do empregado, ou seja, é a forma que
menos gera riscos de adulteração das marcações. Portanto, sendo o meio mais
adequado, o empregador está amparado ao tratamento deste dado sensível,
mesmo sem o consentimento do trabalhador, com fundamento no § 2° do
artigo 74 da CLT, na Portaria MTE nº 1.510/2009 e nas alíneas a e g do inciso II
do artigo 11 da LGPD, com o objetivo de prevenir a adulteração dos controles
de ponto, o que, se ocorresse, seria prejudicial ao trabalhador.
Nas hipóteses em que o controlador coleta dados biométricos para fins de

acesso à empresa ou segurança, também estaria amparado na alínea g do
inciso II do artigo 11 da LGPD, segundo o qual é permitido o tratamento de
dados sensíveis sem consentimento do titular para a garantia da prevenção à
fraude e à segurança do titular, nos processos de identificação e autenticação
de cadastro em sistemas eletrônicos.
Em todo caso, em respeito aos princípios do artigo 6° da LGPD, cabe ao
controlador dar ciência ao empregado do tratamento que será realizado e de
sua respectiva finalidade.
3. Câmeras de Segurança
A imagem do trabalhador pode ser considerada como um dado sensível, visto

que revela informações sobre a sua raça ou etnia, entre outras características
físicas.
No que diz respeito à instalação de câmeras de segurança nas dependências

do empregador, não há previsão legal que autorize ou proíba o seu uso. Assim,
muitos empregadores utilizam desse mecanismo amparados no poder diretivo,
visando a proteção do seu patrimônio.
No entanto, cabe observar que a Constituição Federal no artigo 5°, inciso X,

prevê que são invioláveis a intimidade, a vida privada, a honra e a imagem das
pessoas, assegurado o direito a indenização pelo dano material ou moral
decorrente de sua violação.
Assim, embora não exista uma proibição quanto à instalação de câmeras de

segurança nas dependências da empresa, é necessário o respeito à intimidade,
privacidade, honra e imagem dos trabalhadores, pois, sua violação pode gerar
indenização por dano material ou moral, além de tratamento indevido de dados
pessoais.
Destaca-se, portanto, que a finalidade da câmera é proteger o patrimônio do

empregador, proporcionando segurança no ambiente de trabalho, não podendo
ser utilizada para fiscalização ou vigilância dos trabalhadores. Com isso, não é
possível monitorar determinados locais como vestiários, banheiros e
refeitórios, o que atingiria a intimidade e privacidade do empregado.
Assim, o empregador deve dar ciência aos trabalhadores quanto ao

monitoramento por câmera, indicando como finalidade a segurança no
ambiente de trabalho e consequentemente do próprio trabalhador,
fundamentando-se nas alíneas d e g do inciso II do artigo 11 da LGPD, segundo
os quais é permitido o tratamento de dados sensíveis sem consentimento do
titular para o exercício regular de direito, inclusive em contrato, e para a
garantia da prevenção à fraude e à segurança do titular,.
4. Uso de E-mail Corporativo e WhatsApp
Não é raro que os empregadores utilizem o WhatsApp, ou criem grupos neste

aplicativo, como ferramenta para facilitar a comunicação com os empregados.
Este meio pode gerar o compartilhamento de dados, como por exemplo, envio
de atestados médicos ou outros documentos com dados pessoais do
empregado ou até mesmo de clientes pessoas físicas. O mesmo pode ocorrer
com o e-mail corporativo.
Cabe ao empregador instituir no Regulamento Interno as regras para o uso

correto dessas ferramentas de comunicação, indicando sua finalidade e
documentos ou informações que podem ou não ser transmitidos de acordo
com a necessidade do empregador e em respeito às diretrizes da LGPD,
evitando, com isso, o compartilhamento indevido de dados pessoais.
Os trabalhadores devem ser orientados e, em caso de eventual

descumprimento de regulamento interno, o empregado ficará sujeito a
penalidades, como advertência, suspensão e até mesmo uma eventual justa
causa.
Recomenda-se que o empregador firme termo de ciência para o trabalhador,

mediante disponibilização do Regimento Interno.
Dados Pessoais Proibidos

Durante o contrato de trabalho, há dados pessoais que não podem ser
solicitados e condutas que, apesar de decorrerem de dados coletados de forma
legítima, devem ser evitadas, porque violam a intimidade e privacidade do
trabalhador. Esta prática, além de contrária à legislação trabalhista, representa
também uma desconformidade com a LGPD.
Dentre essas, é possível citar:
1. A exigência de teste, exame, perícia, laudo, atestado, declaração ou qualquer

outro procedimento relativo à esterilização ou a estado de gravidez na
admissão ou permanência no emprego (inciso IV do artigo 373-A da CLT e
inciso I do artigo 2° da Lei n° 9.029/95);
2. A indução ou instigamento à esterilização genética inciso (inciso II do artigo

2° da Lei n° 9.029/95);
3. A promoção do controle de natalidade, assim não considerado o

oferecimento de serviços e de aconselhamento ou planejamento familiar,
realizados através de instituições públicas ou privadas, submetidas às normas
do Sistema Único de Saúde - SUS (inciso III do artigo 2° da Lei n° 9.029/95);
4. A solicitação de certidão negativa de inscrição nos órgãos de proteção ao

crédito (SPC, SERASA), tendo em vista que esses dados servem para proteger o
crédito, e não para impedir uma relação de trabalho (artigo 1° da Lei n°
9.029/95);
5. A solicitação de certidão de antecedentes criminais, salvo se a função exigir,
conforme legislação específica, como por exemplo, no caso do cargo de
vigilante (artigo 16 da Lei n° 7.102/83);
O TST, em julgamento acerca do tema, fixou a tese jurídica, apontando em

quais atividades é possível solicitar a certidão de antecedentes criminais em
virtude da natureza da função ou da lealdade que é exigida, como por exemplo:
domésticos, cuidadores de idosos, deficientes ou menores, motoristas
rodoviários de carga, empregados da agroindústria que trabalhem com
instrumentos perfurocortantes, bancários e afins, trabalhadores que atuem com
informações sigilosas, trabalhadores que atuem com substâncias tóxicas,
entorpecentes e afins.
6. Não será permitida, de forma direta ou indireta, nos exames médicos por
ocasião da admissão, mudança de função, avaliação periódica, retorno,
demissão ou outros ligados à relação de emprego, a testagem do trabalhador
quanto ao HIV (artigo 2° da Portaria MTE n° 1.246/2010);
7. É proibido solicitar ao empregado a comprovação de experiência prévia

superior a seis meses no mesmo tipo de atividade que será desempenhada na
empresa (artigo 442-A da CLT);
8. Proibição de diferença de salários, de exercício de funções e de critério de

admissão por motivo de sexo, idade, cor ou estado civil (inciso XXX do artigo 7°
da CF/88);
9. Proibição de qualquer discriminação no tocante a salário e critérios de

admissão do trabalhador portador de deficiência (inciso XXXI do artigo 7° da
CF/88);
10. Proibição de distinção entre trabalho manual, técnico e intelectual ou entre

os profissionais respectivos (inciso XXXII do artigo 7° da CF/88);
11. Igualdade de direitos entre o trabalhador com vínculo empregatício

permanente e o trabalhador avulso (inciso XXXIV do artigo 7° da CF/88);
12. A Lei n° 9.029/95 proíbe a adoção de qualquer prática discriminatória e

limitativa para efeito de acesso à relação de trabalho, ou de sua manutenção,
por motivo de sexo, origem, raça, cor, estado civil, situação familiar, deficiência,
reabilitação profissional, idade, ressalvadas, nesse último caso, as hipóteses de
proteção à criança e ao adolescente, asseguradas constitucionalmente (inciso
XXXIII do artigo 7° da CF/88);
13. É proibida a publicação de anúncio de emprego no qual haja referência ao

sexo, à idade, à cor ou situação familiar, salvo quando a natureza da atividade a
ser exercida exigir (inciso I do artigo 373-A da CLT);
14. Recusar emprego, promoção ou motivar a dispensa do trabalho em razão
de sexo, idade, cor, situação familiar ou estado de gravidez, salvo quando a
natureza da atividade seja incompatível (inciso II do artigo 373-A da CLT);
15. Considerar o sexo, a idade, a cor ou situação familiar como variável

determinante para fins de remuneração, formação profissional e oportunidades
de ascensão profissional (inciso III do artigo 373-A da CLT);
16. Impedir o acesso ou adotar critérios subjetivos para deferimento de

inscrição ou aprovação em concursos, em empresas privadas, em razão de
sexo, idade, cor, situação familiar ou estado de gravidez (inciso V do artigo 373-
A da CLT);
17. Realizar revistas íntimas nas empregadas ou funcionárias (inciso VI do

artigo 373-A da CLT).
Menor de 18 anos
A LGPD estabeleceu regras especiais para o tratamento de dados pessoais de
crianças e adolescentes, sendo que, nas relações de trabalho, essas regras
geram reflexos nos contratos de aprendizagem, no estágio e no contrato de
emprego do menor, quando firmados com pessoa que não tenha 18 anos
completos.
Dessa forma, é importante notar que, nos termos do Estatuto da Criança e do

Adolescente (Lei nº 8.069/90), considera-se criança a pessoa até 12 anos de
idade incompletos e adolescente aquela entre 12 e 18 anos de idade (artigo 2º).
Destaca-se que a CLT proíbe qualquer trabalho a menores de 16 anos de idade,

salvo na condição de aprendiz, a partir dos 14 anos (artigo 403 da CLT).
O artigo 14 da LGPD estabelece que o tratamento de dados pessoais de

crianças e adolescentes deverá ser realizado em seu melhor interesse (artigo
14) e com o consentimento específico e em destaque dado por pelo menos um
dos pais ou responsável legal (§ 1° do artigo 14 da LGPD).
Assim, por uma interpretação literal da Lei, o consentimento específico e em

destaque dado por um dos pais ou responsável legal apenas é exigido no caso
de tratamento de dados pessoais de crianças. Para os adolescentes, seriam
aplicadas as mesmas regras de tratamento de dados pessoais dos adultos.
No entanto, é necessário ressaltar que o tema pode ser questionado, sendo

passível de regulamentação pela ANPD, até mesmo porque a LGPD assegura
que o tratamento de dados pessoais dos adolescentes seja feito em seu
melhor interesse.
Termo de Compromisso de Estágio
Quando firmado termo de compromisso de estágio (Lei nº 11.788/2008), deve

ser enviada a informação ao eSocial, conforme manual de orientação. Portanto,
o estagiário deve ser indicado pelo seu CPF no evento S-2300 - Trabalhador
sem Vínculo, na categoria 901.
A parte concedente de estágio é obrigada a enviar os dados dos estagiários,

independentemente da sua relação civil com o agente de integração. Deverá
informar também os eventos S-1200 (remuneração) e S-1210 (pagamento).
As informações referentes ao estagiário dizem respeito à natureza do estágio e

ao nível escolar cursado no período do estágio, e devem ser prestadas ainda
que o estágio não seja remunerado. Sobre o estagiário, são enviados também
dados relacionados à saúde e segurança no trabalho, em razão do que dispõe o
artigo 14 da Lei n° 11.788/2008.
Portanto, mesmo em se tratado de termo de compromisso de estágio, há o

compartilhamento da dados pessoais do estagiário com o poder público, para
cumprimento de obrigações acessórias. E, em se tratando de estágio
obrigatório haverá o compartilhamento de informações relativas ao estágio
com a instituição de ensino.
Dessa forma, o recomendado é que, no termo de compromisso do estágio,

constem cláusulas relativas ao tratamento dos dados pessoais, suas
finalidades, bases legais que autorizam o tratamento, os compartilhamentos
serão realizados, a forma de armazenamento dos dados e como o
titular/estagiário e seu representante legal poderão exercer seus direitos diante
da LGPD, coletando-se a ciência e o consentimento do estagiário e seu
representante legal, sempre que necessário, especialmente quando menor de
18 anos.
Trabalho do Menor e Aprendiz
A partir dos 16 anos completos, a CLT permite a contratação como empregado,

desde que observadas as proibições e as regras de proteção ao trabalho do
menor (Decreto nº 6.481/2008 e artigos 403 a 423 da CLT).
Já o contrato de aprendizagem pode se firmado com o menor a partir dos 14

anos, sendo considerado aprendiz o maior de 14 anos e o menor de 24 anos,
exceto o portador de deficiência, que não está sujeito a limite máximo de idade,
conforme Decreto n° 9.579/2018, artigo 403 da CLT
e Instrução Normativa SIT n° 146/2018.
Esses empregados devem ser informados no eSocial no evento S-2200

(cadastramento inicial do vínculo e admissão), sendo identificados pelo CPF.
O contrato de aprendizagem está vinculado ao programa de aprendizagem,
portanto, além do compartilhamento de dados com o poder público, para o
cumprimento de obrigações acessórias, há também o compartilhamento de
dados com a instituição de ensino.
Assim, o contrato de aprendizagem deve constar cláusulas relativas ao

tratamento dos dados pessoais, suas finalidades, bases legais que autorizam o
tratamento, os compartilhamentos serão realizados, a forma de
armazenamento dos dados e como o titular/aprendiz e seu representante legal
poderão exercer seus direitos diante da LGPD, coletando-se a ciência e o
consentimento do aprendiz e seu representante legal, sempre que necessário,
especialmente quando menor de 18 anos.
Compartilhamento
Na forma da LGPD, o controlador que obteve o consentimento para o

tratamento de dados pessoais e precisar comunicar ou compartilhar dados
pessoais com outros controladores, deverá coletar o consentimento específico
do titular para esse fim, ressalvadas as hipóteses legais de dispensa (§ 5° do
artigo 7º da LGPD). Havendo alteração na finalidade do compartilhamento, será
necessário coletar novamente o consentimento do titular dos dados.
Portanto, para o estágio, o trabalho do menor e o contrato de aprendizagem,

deve-se firmar termo de consentimento específico indicando o
compartilhamento e as suas finalidades.
Destaca-se que é direito do titular dos dados obter do controlador, mediante

requerimento, informação das entidades públicas e privadas com as quais
houve o compartilhamento de dados (inciso VII do artigo 18 da LGPD).
Informações Claras e Acessíveis
No tratamento de dados de crianças e adolescentes, as informações deverão

ser fornecidas de maneira simples, clara e acessível, consideradas as
características físico-motoras, perceptivas, sensoriais, intelectuais e mentais
do usuário, com uso de recursos audiovisuais quando adequado, de forma a
proporcionar a informação necessária aos pais ou ao responsável legal e
adequada ao entendimento da criança (§ 6° do artigo 14 da LGPD).
Muito embora essa regra faça referência específica ao tratamento de dados

pessoais das crianças, recomenda-se que seja aplicada aos adolescentes
também, em razão da finalidade da Lei que é atender aos melhores interesses
do menor de idade.
Rescisão Contratual
É lícito ao menor firmar recibo pelo pagamento dos salários. Porém na rescisão
do contrato de trabalho, é proibido ao menor de 18 anos dar, sem assistência
dos seus responsáveis legais, quitação ao empregador pelo recebimento da
indenização que lhe for devida (artigo 439 da CLT).
Quando ocorrer a rescisão do contrato de aprendizagem, do empregado menor,

bem como, o encerramento do termo de compromisso de estágio (quando
firmados com menores de 18 anos), há a obrigatoriedade de participação de
um dos pais ou responsável legal para a quitação.
Autônomo
Na contratação de autônomo, também ocorre a coleta de dados pessoais do
trabalhador e a necessidade de prestar informação na GFIP e no eSocial.
Portanto, nesta contratação, também será necessário atender ao que dispõe a
LGPD para que o tratamento de dados pessoais do autônomo seja regular.
Desse modo, as medidas preventivas e de boas práticas também são aplicáveis
na contratação deste trabalhador.
No eSocial, são admitidas duas formas de prestar a informação referente ao

trabalho autônomo: no evento S-2300 (Trabalhador Sem Vínculo de Emprego -
Início) ou no evento S-1200 (Folha de Pagamento).
Quando o contratante/controlador opta por enviar o evento S-2300, será

necessário coletar e informar obrigatoriamente o Número de Identificação
Social - NIS (PIS, PASEP NIT, SUS). O eSocial efetuará a validação do CPF, NIS e
data de nascimento.
Relativamente a GFIP, a informação é necessária, pois a empresa tomadora de

serviços é responsável pelo recolhimento da contribuição previdenciária
descontada do autônomo, quando lhe prestar serviços. Neste caso, também
será necessário o número de inscrição
no PIS/PASEP ou Inscrição do Contribuinte Individual.
Assim, considerando que a contratação de autônomo também reflete uma

relação de trabalho, na qual ocorre o tratamento de dados pessoais, será
necessário observar todas as cautelas quanto à coleta, tratamento e
compartilhamento de dados, que se fundamentarão, com frequência, na
execução do contrato e no cumprimento de obrigações legais (incisos II e V do
artigo 7° da LGPD), apesar de outras bases legais também serem admitidas a
depender da natureza da contratação.
Neste caso, também é possível o tratamento de dados pessoais sensíveis que
deve estar fundamentada nas bases legais previstas no artigo 11 da LGPD,
dentre as quais se destacam:
- Consentimento;
- Cumprimento de obrigação legal ou regulatória pelo controlador;
- Exercício regular de direitos, inclusive em contrato e em processo judicial,

administrativo e arbitral;
- Proteção da vida ou da incolumidade física do titular ou de terceiro;
- Garantia da prevenção à fraude e à segurança do titular, nos processos de

identificação e autenticação de cadastro em sistemas eletrônicos.
O contratante/controlador deve estabelecer no contrato cláusulas de proteção

de dados que demonstrem as finalidades e bases legais que legitimam o
tratamento, dando ciência inclusive quanto aos compartilhamentos que serão
realizados.
Teletrabalho
O teletrabalho é a prestação de serviços preponderantemente fora das
dependências do empregador, com a utilização de tecnologias de informação e
de comunicação que, por sua natureza, não se constituam trabalho externo.
Está regulamentado nos artigos 75-A ao 75-E da CLT.
As disposições relativas à responsabilidade pela aquisição, manutenção ou

fornecimento dos equipamentos tecnológicos e da infraestrutura necessária e
adequada à prestação do teletrabalho, devem ser previstas no contrato de
trabalho (artigo 75-D da CLT).
Em certos casos, o trabalhador vai usar os seus próprios equipamentos

tecnológicos para desenvolver o trabalho remoto. Nesta hipótese, a depender
da atividade exercida, o trabalhador poderá ter acesso a dados pessoais de
clientes do controlador a qualquer momento, o que vai demandar maior
cuidado nas atividades de tratamento de dados.
Além do mais, o contato com o controlador ocorrerá em meios digitais, a

exemplo do WhatsApp, e-mail ou vídeo conferência que, além de captar a voz e
a imagem do trabalhador, pode captar a imagem de familiares, inclusive de
crianças.
Portanto, cabe ao controlador instituir procedimentos de segurança para que o

teletrabalho se devolva em conformidade com a LGPD e que o contrato de
trabalho estabeleça as responsabilidades decorrentes da necessidade de
proteção de dados.
A seguir são apresentadas algumas medidas para a adequação do teletrabalho

à LGPD:
1. Atualizar o contrato de teletrabalho para que contenha cláusulas sobre a

proteção de dados, tanto no que diz respeito ao próprio trabalhador, quanto a
eventuais dados pessoais de clientes;
2. Instituir regras internas para as atividades de tratamento de dados no

teletrabalho, orientando como será a coleta dos dados pessoais,
armazenamento, hipóteses que geram compartilhamento, determinando
critérios de segurança para que dados pessoais de clientes não sejam
armazenados de forma insegura, como por exemplo, no dispositivo físico do
trabalhador;
3. Delimitar uma periodicidade em que o trabalhador deve eliminar dados que

tenha salvo em seus dispositivos particulares, ficando sujeito a penalidades e
responsabilização em caso de descumprimento; ou
4. Preferencialmente, recomenda-se que o controlador forneça os

equipamentos eletrônicos necessários à execução do teletrabalho e estabeleça
no contrato de trabalho a proibição quanto a realização de cópias de dados ou
informações para outros dispositivos, sob pena de aplicação de penalidades,
como advertência, suspensão, justa causa e até eventual indenização em caso
de danos com dados pessoais de terceiros;
5. Criar um procedimento de segurança para realização de vídeo conferência

com o trabalhador, para que não sejam captadas imagens de terceiros
indevidamente e, caso ocorra essa captura indevida, o controlador
compromete-se a eliminar as imagens, imediatamente e por procedimento
seguro;
6. Dar ciência ao trabalhador, fundamentando-se na execução do contrato e no

legítimo interesse do empregador, quanto à captura da imagem e voz, nos
casos de vídeo conferência, estipulando o modo e o tempo de armazenamento
desses dados;
7. Utilizar uma plataforma específica, além de e-mail corporativo, com acessos

restritos por login e senha do trabalhador;
8. Instituir regras para o uso do WhatsApp, para impedir o compartilhamento de

dados pessoais por meio deste aplicativo, como, por exemplo, envio de
atestados médicos ou informações sigilosas, e, caso ocorra, seja estabelecido
procedimento para armazenamento em um outro meio seguro, com a
eliminação permanente do aplicativo e do dispositivo dos dados recebidos.
Negociação Coletiva
Cláusulas sobre Proteção de Dados
A LGPD foi omissa quanto à possibilidade de uma negociação coletiva instituir

regras sobre o tratamento de dados pessoais. Assim, diante dessa omissão, o
tema vem gerando debates entre os doutrinadores, sendo que ainda não há um
entendimento pacífico sobre o assunto.
Cabe notar que a Regulamento Europeu previu em seu artigo 88 a possibilidade

dessa negociação.
A CLT, no seu artigo 8º, prevê que, na falta disposições legais ou contratuais,
será possível a utilização do direito comparado (direito internacional), mas
sempre de maneira que nenhum interesse de classe ou particular prevaleça
sobre o interesse público. Portanto, diante dessa autorização legal, surgem
entendimentos no sentido de que a negociação coletiva poderá tratar de regras
relativas à proteção de dados.
É importante lembrar que o artigo 611-A da CLT estabelece que a negociação

coletiva terá prevalência sobre a lei e que o artigo 611-B da CLT dispõe sobre
as hipóteses que constituem objeto ilícito da convenção ou acordo coletivo de
trabalho.
Neste sentido, a Constituição Federal de 1988 estabelece no artigo 8º, inciso III,
que ao sindicato cabe a defesa dos direitos e interesses coletivos ou
individuais da categoria, inclusive em questões judiciais ou administrativas.
Entretanto, a LGPD protege os direitos fundamentais, como a intimidade e a

privacidade do indivíduo, previstos no artigo 5º da CF/88, os quais são
considerados como direitos que não podem ser alterados, modificados ou
negociados, em razão do que dispõe o artigo 60, § 4°, inciso IV da CF/88.
A partir dessas premissas, há entendimento de que os instrumentos coletivos

de trabalho apenas podem negociar regras sobre tratamento de dados
pessoais, no que se refere a procedimentos, caso contrário, estariam sujeitos à
inconstitucionalidade.
Dessa forma, questões relacionadas à liberdade, privacidade e ao livre

desenvolvimento da personalidade da pessoa natural não poderiam ser objeto
de negociação coletiva, pois essa negociação violaria previsão constitucional e,
consequentemente, seria declarada inexistente.
Portanto, inicialmente, o entendimento volta-se no sentido de que as
negociações coletivas apenas podem abordar normas quanto a forma e o
procedimento do tratamento de dados pessoais, bem como para fins
fiscalizatórios pelo Sindicato, em defesa dos trabalhadores.
A título de exemplo, pode-se mencionar: cláusulas sobre procedimentos para

viabilizar os benefícios previstos nas convenções e acordos coletivos; sobre
quais dados pessoais poderiam ser coletados para possibilitar a concessão
dos benefícios; atuação do Encarregado ou do Operador perante o Sindicato;
tempo e a forma de guarda de determinados documentos ou informações que
não possuam prazo definido em lei; dentre outras.
Legitimação para Tratamento de Dados
Um aspecto relevante sobre os instrumentos coletivos diante da LGPD diz

respeito à sua legitimação para o tratamento de dados. Isto porque, quando o
empregador realizar um tratamento de dado em razão de cláusulas que
determinam benefícios ou condições de trabalho, será possível se basear no
cumprimento de obrigação legal como fundamento para essa operação, uma
vez que as convenções e acordos coletivos têm força normativa reconhecida
pelo inciso XXVI do artigo 7° da CF/88.
Dados Pessoais Sensíveis
Destaca-se que informações acerca da filiação do empregado ao sindicato é

considerado, pelo artigo 5°, inciso II, da LGPD, como dado pessoal sensível.
Assim, o questionamento e armazenamento dessa informação pelo
empregador deve estar relacionada a uma finalidade específica e legitimada
pelo artigo 11 da LGPD.
Retenção de Documentos
Quando para a realização de determinado ato for exigida a apresentação de
documento de identificação, a pessoa que fizer a exigência fará extrair, no
prazo de até cinco dias, os dados que interessarem devolvendo em seguida o
documento ao seu exibidor, conforme artigo 2° da Lei nº 5.553/68.
Com isso, o empregador poderá reter os documentos de identificação do

trabalhador por até cinco dias, mesmo que sejam apenas fotocópias simples
ou autentificas.
Neste período, o empregador pode extrair e armazenar os dados necessários

para a relação contratual e, ao final desse prazo, deve devolver os documentos,
mediante recibo, ao trabalhador.
Conforme o artigo 29 da CLT, o empregador terá o prazo de 5 dias úteis para
anotar na CTPS, em relação aos trabalhadores que admitir, a data de admissão,
a remuneração e as condições especiais, se houver, facultada a adoção de
sistema manual, mecânico ou eletrônico.
Não há impedimento para que o empregador reproduza os dados para

processamento de suas obrigações contratuais e legais. Entretanto, é essencial
adotar as medidas de boas práticas para proteção dos dados, além de observar
o período de guarda dos documentos e eliminação ao término do tratamento.
Quando ocorre o Compartilhamento
O uso compartilhado de dados é a comunicação, difusão, transferência

internacional, interconexão de dados pessoais ou tratamento compartilhado de
bancos de dados pessoais por órgãos e entidades públicos no cumprimento de
suas competências legais, ou entre esses e entes privados, reciprocamente,
com autorização específica, para uma ou mais modalidades de tratamento
permitidas por esses entes públicos, ou entre entes privados (inciso XVI do
Nas relações de trabalho, o compartilhamento de dados pessoais poderá

ocorrer em inúmeras hipóteses, como por exemplo, com o escritório de
contabilidade contratado para gerar a folha de pagamento e cumprir
obrigações acessórias; com o escritório de advocacia, quando representa o
controlador em fiscalizações administrativas ou ações judiciais; com empresas
tomadoras de serviços; clínicas de medicina ocupacional, que realizam os
exames médicos do PCMSO; entre empresas do mesmo grupo econômico;
entidades sindicais, entre outros operadores.
Orientações sobre Terceirização e Grupos Econômicos estão disponíveis em

Outras Relações.
Princípios da Transparência – Termo de Ciência
O compartilhamento de dados pessoais com outros agentes de tratamento

deverá ser realizado mediante consentimento específico para esse fim, quando
esta for a base legal que legitima o tratamento, ou de forma clara e acessível
ao trabalhador, nas demais hipóteses, em cumprimento ao princípio da
transparência (§ 5° do artigo 7º e inciso VI do artigo 6° da LGPD).
Sempre que a finalidade do tratamento for alterada ou ocorrer

compartilhamento de dados com outros agentes de tratamento, deve-se obter
novo consentimento do trabalhador (§ 6° do artigo 8º da LGPD).
Tanto o termo de consentimento quanto a ciência ao empregado devem indicar
para quais finalidades os dados pessoais estão sendo tratados e com quais
agentes de tratamento serão compartilhados.
Cláusulas Contratuais
É fundamental que o contrato de prestação de serviços estabeleça, em linhas

gerais, regras quanto à proteção de dados, quais operações de tratamento
serão executadas, as medidas de segurança aplicadas, confidencialidade e as
responsabilidades de cada um, o que pode ser realizado por termo aditivo.
Contabilidade
Os escritórios de contabilidade, contratados para gerar a folha de pagamento e

cumprir obrigações acessórias, quando realizam tratamento de dados em
nome do controlador, são considerados como operadores, já que, neste
compartilhamento, não utilizam os dados para finalidades próprias, mas para
aquelas definidas pelo empregador contratante (inciso VII do artigo 5º da
LGPD).
Vale lembrar que, quando se a contabilidade, na posição de operador, utilizar os

dados pessoais que recebeu do controlador para realizar um tratamento
diferente daquele que lhe foi determinado, ou utilizá-los para seus próprios
interesses, se tornará um controlador por equiparação, de acordo com inciso I
do § 1° do artigo 42º da LGPD.
É importante que a contabilidade implemente sistemas de controle e

mecanismos internos que garantam e demonstrem a adequação a LGPD.
Entidade Sindical
Quando a convenção ou acordo coletivo estabelecer que o empregador deve

fornecer ao Sindicato determinada informação que contenha dados pessoais
dos empregados, em razão da força normativa reconhecida a esses
instrumentos pelo artigo 7°, inciso XXVI, da CF/88, o empregador deve cumprir,
sendo que, neste caso, a base legal que legitimará tanto a solicitação pelo
Sindicato, quanto o compartilhamento pelo empregador, será o cumprimento
de obrigação legal (inciso II do artigo 7° e alínea a do inciso II do artigo 11 da
LGPD).
Entretanto, quando solicitação de compartilhamento pelo Sindicato não estiver

prevista no instrumento coletivo, para que a transferência ocorra de acordo
com a LGPD, é essencial que estejam identificadas suas finalidades e
fundamentadas em bases legais que legitimam esse compartilhamento.
Por outro lado, quando o tratamento de dados estiver fundamentado no
consentimento, é preciso que o titular dos dados tenha concordado
especificamente com essa transferência. Nas demais hipóteses que autorizam
o tratamento dos dados, é importante ser transparente ao titular acerca do
compartilhamento, por exemplo, constando na Política de Privacidade.
Clínica Médica de Saúde Ocupacional
Para cumprimento das normas de medicina e segurança do trabalho, muitos

empregadores contratam clínicas médicas de saúde ocupacional, as quais se
tornam responsáveis por elaborar o PCMSO (Programa de Controle Médico de
Saúde Ocupacional) e realizar os exames admissional, periódico e demissional.
Quando o exame é realizado, o médico do trabalho emite o Atestado de Saúde

Ocupacional (ASO), apontando a aptidão ou não do empregado para a função a
partir dos resultados dos exames. Além disso, são registrados, no prontuário
do empregado, os dados contidos nos exames médicos (admissional
obrigatório, periódicos, de retorno ao trabalho, de mudança de função e
demissional), incluindo avaliação clínica e exames complementares, sob a
responsabilidade do médico coordenador do PCMSO ou do médico
responsável pelo exame, quando a organização estiver dispensada de PCMSO
(item 7.6.1 da NR 07).
Observa-se, com isso, que, no compartilhamento de dados relacionados à

saúde do empregado, entre o empregador e a clínica de saúde ocupacional, há
transferência tanto de dados pessoais quanto dados pessoais sensíveis, o que
exige dos agentes de tratamento especial atenção em seus procedimentos.
Ainda que o compartilhamento seja realizado em razão do cumprimento de

obrigação legal prevista na CLT e na NR 07, o titular dos dados deve ter ciência
dos dados que estão sendo utilizados, para qual finalidade, meio que serão
tratados e seu amparo legal, em cumprimento ao fundamento da
autodeterminação informativa e ao princípio da transparência previstos no
inciso II do artigo 2° e no inciso do artigo 6° da LGPD, respectivamente.
Obrigações Acessórias
Há uma série de obrigações acessórias decorrentes da relação de trabalho, que

abarcam dados pessoais dos trabalhadores, a exemplo, principalmente, da
GFIP, eSocial e RAIS.
No cumprimento destas obrigações acessórias pelo empregador, ocorre o

compartilhamento de dados com entes e empresas públicas, tais como:
Receita Federal, INSS, CEF, entre outras. Assim, mesmo que o empregador
esteja cumprindo o seu dever legal e o consentimento seja dispensado, o
empregado, que é o titular dos dados, deve ter conhecimento deste
compartilhamento, principalmente para quais órgãos ou entes públicos serão
transferidos seus dados pessoais e a finalidade, o que pode ser realizado
através da Política de Privacidade.
A seguir, estão indicadas as principais obrigações acessórias que fazem parte

das relações trabalhistas:
GFIP/SEFIP
O Manual de Orientação da SEFIP, versão 8.4, exige uma série de informações do trabalhador, tanto empr
momento da transmissão da GFIP, como por exemplo:
- Número do PIS/PASEP ou inscrição do contribuinte individual
- Nome civil completo do trabalhador
- Endereço completo do trabalhador para recebimento de correspondências da Previdência Social e da CA
- Número e a série da Carteira de Trabalho e Previdência Social
- Data de nascimento
- Data de admissão
RAIS
Para as empresas que ainda enviam a RAIS, por se enquadrarem no 3° Grupo do eSocial, é importante obs
sobre dados pessoais e até dados sensíveis, como:
- Código PIS/PASEP/NIT
- CPF
- Nome civil do empregado
- Sexo do trabalhador
- Data de nascimento – dia, mês e ano
- Raça/cor
- Pessoa com deficiência habilitada ou beneficiário reabilitado
- Nacionalidade e ano de chegada, para estrangeiros
- Escolaridade
- Carteira de Trabalho e Previdência Social (CTPS) e série
ESOCIAL
Instituído com o objetivo de unificar a prestação de informações pelo empregador referente à escrituração
sistema, há transferência de inúmeros dados pessoais e sensíveis de trabalhadores e dependentes.
São listados a seguir os principais dados pessoais a serem transmitidos no eSocial nos eventos:
- Nome / Nome Social
- CPF
- Sexo do trabalhador
- Raça e Cor, Estado civil, Grau de Instrução
- Data de Nascimento, Endereço, Telefone, Email
- Pessoa com Deficiência
- Dependente do Trabalhador: nome, data de nascimento, CPF, sexo
- Data de admissão do empregado
- Atestado médico: descrição da natureza da lesão, diagnóstico provável, código da tabela de Classificação
que emitiu o atestado, número de inscrição no órgão de classe, sigla da UF do órgão de classe
- Informações do exame médico ocupacional
- Detalhamento das informações do Atestado de Saúde Ocupacional – ASO
- Avaliações clínicas e os exames complementares
- Informações sobre o médico emitente do ASO e sobre o médico responsável/coordenador do PCMSO: n

da UF do órgão de classe
- Informações de início do afastamento
- Afastamento para exercício de mandato sindical
- Afastamento para exercício de mandato eletivo
- Informações do responsável pelos registros ambientais: CPF, Órgão de classe ao qual o responsável pelo
órgão de classe, sigla da UF
O tratamento de dados, em razão do contrato de trabalho, fundamentado no
consentimento deve ser realizado com cautela e restrito às hipóteses em que o
empregado tem de fato a possibilidade de se opor, como é o caso, por exemplo,
da concessão de um benefício.
Isto porque a relação trabalhista tem como premissa a assimetria entre as
partes em função da hipossuficiência do empregado, o que tem levado ao
entendimento de que o consentimento, como regra, não reflete a livre e
inequívoca vontade do trabalhador.
Quando esta for a base legal que autoriza o tratamento, é preciso ter atenção
aos seus requisitos de validade: manifestação livre, informada, inequívoca, para
uma finalidade determinada e fornecido por escrito ou qualquer meio que
demonstre a vontade do trabalhador (inciso XII do artigo 5º e artigo 8° da
LGPD).
Com isso, é necessário ter atenção aos termos de consentimento genéricos,

uma vez que serão considerados nulos, conforme § 4° do artigo 8° da LGPD.
Recomenda-se que seja fornecido por escrito, ainda que essa forma não seja
obrigatória por lei, em cláusula destacada ou por termo específico, podendo ser
por e-mail, plataforma ou aplicativo, já que é dever do empregador demonstrar
que a manifestação do consentimento ocorreu nos termos da LGPD (§ 1° do
Havendo alteração na finalidade, na forma e duração do tratamento,

observados os segredos comercial e industrial, ou nas informações acerca do
uso compartilhado de dados pelo controlador e o seu objetivo, o trabalhador
deve ser informado de forma específica acerca das alterações, podendo
revogá-lo caso discorde da alteração (§§ 5° e 6° do artigo 8º da CLT).
Princípio da Transparência
Ainda que o tratamento de dados esteja amparado em outras bases legais que
não o consentimento, é necessário que o empregador indique para quais
finalidade está coletando os dados pessoais, o que pode ser feito no próprio
contrato de trabalho, em um termo de ciência ou na Política de Privacidade
dirigida aos empregados.
Neste documento, o empregador deve cientificar o trabalhador sobre a

existência de compartilhamento dos dados com operadores, a exemplo de
escritório de contabilidade, advocacia, call center, clínicas de medicina
ocupacional, sindicato, e até mesmo com o Poder Público, para o cumprimento
de obrigações acessórias.
Ainda, deve-se indicar a finalidade do compartilhamento, ou seja, qual o

objetivo da transferência. Sempre que houver alteração quanto ao
compartilhamento ou a sua finalidade, o termo de ciência deve ser atualizado
(§ 5° do artigo 7º da LGPD).
Esta prática decorre do princípio da transparência previsto no inciso VI do
artigo 6° da LGPD, segundo o qual devem ser garantidas aos titulares dos
dados informações claras, precisas e facilmente acessíveis sobre a realização
do tratamento e os respectivos agentes de tratamento, observados os
segredos comercial e industrial.
Boas Práticas
Passo a Passo
Considerando que a LGPD deve ser observada sempre que há tratamento de

dados pessoais, é importante estabelecer condutas de conformidade com as
regras de proteção de dados.
Desse modo, a seguir são indicadas algumas medidas específicas para as

relações trabalhistas, que merecem a atenção dos agentes de tratamento,
lembrando que outras condutas gerais devem ser adotadas como: instituir
comitê e medidas de segurança; divulgar informações de contato do
encarregado; disponibilizar um canal de comunicação e garantir o livre acesso
aos titulares dos dados; promover capacitação e conscientização de
empregados; elaborar o Relatório de Impacto à Proteção de Dados Pessoais;
adotar medidas de segurança e realizar revisão periódica dos procedimentos
que envolvem tratamento de dados pessoais.
Para as medidas gerais, orienta-se a leitura das orientações disponíveis em

Mapeamento de Dados – Boas Práticas.
1° Passo: Verificar a Legislação Aplicável para a Coleta de Dados Pessoais
Os dados pessoais a serem coletados nas relações de trabalho são aqueles

necessários para a realização e cumprimento do contrato, além das obrigações
acessórias. É essencial conhecer a legislação trabalhista, previdenciária e de
saúde e segurança do trabalho para que a coleta dos dados esteja em
conformidade com lei.
O empregador, que se enquadra como controlador, deve indicar a finalidade e a

base legal que autoriza essa coleta, limitando-se ao mínimo necessário para a
obtenção do resultado pretendido (incisos I, II, e III do artigo 6º da LGPD).
É
imprescindível evitar a coleta de dados em excesso ou sem finalidade específic
a.
Ainda, com as diretrizes de proteção de dados, a prática de condutas

discriminatórias, que violam a intimidade e a privacidade do trabalhador, devem
ser evitadas para que não configurem também um descumprimento à LGPD.
2º Passo: Cautela na Coleta de Dados Pessoais Sensíveis
No que diz respeito aos dados sensíveis, além de coletar apenas aqueles que
sejam indispensáveis e fundamentados no artigo 11 da LGPD, as medidas de
proteção devem ser aplicadas com maior rigor, tendo em vista que incidentes
de segurança ou tratamento inadequado a esses dados têm maior potencial de
causar danos aos titulares.
Nas relações trabalhistas, há coleta de inúmeros dados pessoais sensíveis que

devem receber atenção do controlador, em especial quanto à sua coleta,
fundamentação e finalidades legítimas, além da forma como está sendo
realizado o tratamento e a garantia da transparência aos titulares.
3° Passo: Regras para Tratamento de Dados de Crianças e Adolescentes

O artigo 14 da LGPD estabelece que o tratamento de dados pessoais de criança
s e adolescentes deverá ser realizado em seu melhor interesse.
Assim, é importante que no termo de compromisso do estágio, no contrato de

aprendizagem e no contrato de trabalho do menor, constem cláusulas relativas
ao tratamento dos dados pessoais, especificando as finalidades, as bases
legais que autorizam o tratamento, compartilhamentos necessários, forma de
armazenamento dos dados e como poderão ser acessados pelo titular,
coletando-se a ciência do titular e o seu consentimento, inclusive do
representante legal, sempre que necessário.
Quando ocorrer a rescisão do contrato de trabalho do menor, há a

obrigatoriedade de participação de um dos pais ou responsável legal para a
quitação.
4º Passo: Termo de Consentimento
Sempre que existir a necessidade de coletar o consentimento do titular para o

tratamento dos seus dados pessoais, deverá ser fornecido por escrito ou por
qualquer outro meio que demonstre a manifestação de vontade do titular
(artigo 8º da LGPD).
Quando o tratamento de dados estiver em outra base legal que não o

consentimento, é necessário que o empregador indique suas finalidades e a
existência de compartilhamento, o que pode ser feito no próprio contrato de
trabalho, em um termo de ciência ou na Política de Privacidade dirigida aos
empregados.
Sempre que houver alteração quanto ao compartilhamento ou a finalidade do

tratamento, tanto o consentimento quanto o documento que garantiu a
transparência dessas informações deve ser atualizado (§ 5° do artigo 7º da
LGPD).
5º Passo: Compartilhamento de Dados
O compartilhamento de dados pessoais deve ser realizado mediante

consentimento ou conhecimento específico do empregado para esse fim,
inclusive quando houver alteração da finalidade do tratamento (§§ 5° e 6° do
6º Passo: Revogação do Consentimento
Quando o tratamento dos dados estiver fundamentado no consentimento do

titular, deve ser garantido o direito de revogação a qualquer momento,
mediante manifestação expressa, por procedimento gratuito e facilitado (§ 5º
do artigo 8º e inciso IX do artigo 18 da LGPD).
O controlador deve divulgar os meios disponíveis para o exercício do direito de

revogação, que pode ser mediante declaração escrita, por e-mail direcionado ao
controlador, em plataforma ou site oficial, sem custos ao titular dos dados.
7º Passo: Não Guardar Documentos de Identificação
Quando para a realização de determinado ato, o controlador exigir a

apresentação de documento de identificação, deverá extrair no prazo de até 5
dias, os dados que interessarem, e devolver, em seguida, o documento ao seu
exibidor (artigo 2º da Lei nº 5.553/68).
Não há impedimento para que o empregador reproduza os dados para

processamento de suas obrigações contratuais e legais. Entretanto, é essencial
adotar as medidas de boas práticas para proteção dos dados, além de observar
o período de guarda dos documentos e eliminação ao término do tratamento.
8º Passo: Verificar o Término do Tratamento de Dados Pessoais
Segundo o artigo 15 da LGPD, o término do tratamento de dados pessoais

ocorrerá quando a finalidade tiver sido alcançada, os dados deixaram de ser
necessários ou pertinentes ao alcance da finalidade específica, no fim do
tratamento, quando ocorrer a revogação do consentimento ou por
determinação da ANPD.
Assim, os dados pessoais serão eliminados após o término de seu tratamento,

no âmbito e nos limites técnicos das atividades, autorizada a conservação para
cumprimento de obrigação legal ou regulatória pelo controlador, transferência a
terceiro, desde que respeitada a LGPD, ou uso exclusivo do controlador,
proibido o acesso por terceiro, e desde que anonimizados os dados (artigo 16
da LGPD).
Para cumprimento de obrigação legal ou regulatória do empregador, deve-se

observar os períodos de guarda dos documentos e os prazos prescricionais
previstos na legislação trabalhista, previdenciária e de saúde e segurança do
trabalho.
De acordo com o artigo 15 da LGPD, o término do tratamento de dados
pessoais ocorrerá nas seguintes hipóteses:
- Verificação que a finalidade foi alcançada ou que os dados deixaram de ser

necessários ou pertinentes ao alcance da finalidade pretendida;
- Fim do período de tratamento;
- Revogação do consentimento pelo titular dos dados;
- Determinação da ANPD, quando houver violação ao disposto na Lei Geral de

Proteção de Dados.
Ocorrendo uma dessas hipóteses, o tratamento dos dados deve ser encerrado,
cabendo, via de regra, sua eliminação.
Entretanto, há permissão para mantê-los nos casos específicos previstos no

artigo 16 da LGPD:
I - cumprimento de obrigação legal ou regulatória pelo controlador;
II - estudo por órgão de pesquisa, garantida, sempre que possível, a

anonimização dos dados pessoais;
III - transferência a terceiro, desde que respeitados os requisitos de tratamento

de dados dispostos nesta Lei; ou
IV - uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que
anonimizados os dados.
Assim, ocorrendo a rescisão contratual, algumas medidas devem ser adotadas

em atenção à LGPD, principalmente em relação aos pedidos de bons
antecedentes funcionais, ao tratamento de dados pessoais de empregados
falecidos e à guarda de documentos trabalhistas, previdenciários e do FGTS
durante os prazo previstos em lei.
Conservação de Dados
Os dados pessoais poderão ser mantidos, mesmo após o término do
tratamento, nas relações trabalhistas nas seguintes situações (artigo 16 da
LGPD):
►Cumprimento de obrigação legal ou regulatória pelo controlador (inciso I do

artigo 16 da LGPD)
A Constituição Federal assegura o direito ao contraditório e a ampla defesa

(inciso LV do artigo 5º da CF/88), garantindo-se, consequentemente, o direito à
guarda de documentos após o término da relação de trabalho, tanto para
defesa judicial quanto administrativa. Além disso, a própria legislação
trabalhista estabelece que determinados documentos devem ser mantidos por
prazos específicos.
Por este motivo, o empregador/contratante poderá armazenar dados pessoais

dos trabalhadores após a rescisão do contrato, pelo tempo permitido em Lei, a
depender do tipo de documento, para atender às fiscalizações da Secretaria do
Trabalho, da Receita Federal, bem como para responder ações judiciais.
►Estudo por órgão de pesquisa, garantida sempre que possível, a

anonimização dos dados pessoais (inciso II do artigo 16 da LGPD)
A conservação dos dados pessoais, preferencialmente anonimizados, será

permitida para atender a estudos científicos, históricos, tecnológicos ou
estatísticos, realizados por órgão de pesquisa constituído para essa finalidade.
►Transferência a terceiro, desde que respeitados os requisitos de tratamento

de dados dispostos na LGPD
Na relação de trabalho, é possível citar como exemplo, a situação em que o

trabalhador, que era beneficiário do plano de saúde empresarial, solicita a
portabilidade dos seus dados pessoais para outra operadora de plano de
saúde, em razão da extinção da relação de trabalho, fazendo com que o
empregador tenha que fornecer os seus dados médicos para a nova operadora.
Neste caso, o compartilhamento deve ser autorizado pelo titular/trabalhador.
Assim, os dados sobre o benefício concedido durante o contrato de trabalho

podem ser mantidos para cumprimento de obrigações legais ou regulatórias, já
a transferência poderá ser realizada com base na solicitação do trabalhador.
►Uso exclusivo do controlador, proibido seu acesso por terceiro e desde que
anonimizados os dados
Ocorre, por exemplo, quando o empregador armazena dados pessoais dos seus
ex trabalhadores para fins estatísticos e fiscalizatórios, como por exemplo, para
comprovação de cumprimento da cota de aprendiz, pessoa portadora de
deficiência ou ainda entrevista realizada na rescisão contratual para
percepções sobre a cultura organizacional do empregador.
Revogação do Consentimento
A revogação do consentimento é um direito do trabalhador (inciso IX do artigo

18 da LGPD) que deve ser garantido por procedimento gratuito e facilitado
sempre que o uso dos dados estiver nele fundamentado. Entretanto, ficam
confirmados os tratamentos realizados com base no consentimento
anteriormente manifestado, enquanto não houver requerimento de eliminação
(§ 5° do artigo 8º da LGPD).
Portanto, a revogação do consentimento configura uma das hipóteses do

término de tratamento de dados pessoais (inciso III do artigo 15 da LGPD), os
quais somente poderão ser mantidos quando o empregador estiver amparado
em uma das hipóteses do artigo 16 da LGPD.
Armazenamento de Dados
Quando houver justificativa para manutenção dos dados, mesmo após a

rescisão do contrato de trabalho, as medidas de segurança, técnicas e
administrativas aptas a protegê-los de acessos não autorizados, de situações
acidentais, ilícitas ou qualquer forma de tratamento inadequado devem ser
mantidos (artigo 46 da LGPD). Isto porque os agentes de tratamento, ou
qualquer outra pessoa que intervenha em uma das fases do tratamento, fica
obrigado a garantir a segurança da informação em relação aos dados pessoais,
mesmo após o seu término (artigo 47 da LGPD).
Assim, os sistemas utilizados para o tratamento de dados pessoais devem ser

estruturados de forma atender aos requisitos de segurança, aos padrões de
boas práticas e de governança e aos princípios previstos na LGPD (artigo 49 da
LGPD).
O controlador deve, portanto, ficar atento ao prazo de guarda previsto em lei

para cada tipo de documento decorrente da relação de trabalho, considerando,
inclusive, o local de armazenamento, a natureza do documento, sua finalidade e
o prazo previsto em lei para sua retenção para proporcionar a conservação
segura e adequada à LGPD.
Anonimização
Os dados anonimizados, via de regra, não são protegidos pela LGPD, salvo se o
procedimento puder ser revertido. Estes dados poderão ser usados, por
exemplo, para fins estatísticos, com o objetivo de aperfeiçoamento da
inteligência artificial, obtenção de informações sobre análises de
comportamento, entre outros.
Desse modo, após o término do contrato de trabalho e fim do tempo permitido
para guarda dos documentos, o controlador poderá armazenar dados de seus
ex trabalhadores, desde que anonimizados, como, por exemplo: apurar a média
de idade dos seus empregados, a ocorrência de acidentes de trabalho,
comprovação quanto ao cumprimento de cota de aprendiz ou de pessoa
portadora de deficiência, entre outras.
Prazos de Guarda
Para atender às fiscalizações da Secretaria do Trabalho, da Receita Federal,
bem como para responder às ações judiciais, os empregadores poderão
manter documentos após o término da relação de trabalho, fundamentando-se
na obrigação legal e no exercício do direito de defesa, dispensando-se, nestes
casos, o consentimento do trabalhador (incisos II e VI do artigo 7º, e inciso II,
alíneas “a” e “d” do artigo 11º da LGPD).
► Reclamatória Trabalhista
O empregado tem o direito de pleitear créditos trabalhistas dos últimos cinco

anos, desde que ajuizada a ação até dois anos após a extinção do contrato de
trabalho (inciso XXIX do artigo 7º da CF/88).
Logo, durante o prazo de cinco anos, contados da rescisão contratual, o

empregador deve manter os documentos decorrentes da relação de trabalho
para eventual defesa judicial.
Especificamente para o FGTS, é importante observar o entendimento do TST

fundamentado na Súmula n° 362, segundo o qual:
1. A prescrição será de 30 anos para:
- Os contratos de trabalho cuja ausência de depósito do FGTS tenha ocorrido

até 13.11.1989;
- Os contratos cuja ausência de depósito do FGTS tenha ocorrido entre

13.11.1989 a 13.11.2014, se ação trabalhista tiver sido ajuizada até 13.11.2019;
1. A prescrição será de cinco anos para:
- Os contratos cuja ausência de depósito do FGTS tenha ocorrido entre

13.11.1989 a 13.11.2014 e as ações trabalhistas tenham sido ajuizadas após
13.11.2019;
- Os contratos com data de admissão após 13.11.2014 (data em que foi

declarada a inconstitucionalidade da prescrição de 30 anos).
Em todas as hipóteses, deve ser observado o prazo de dois anos após o fim do
contrato de trabalho para o ajuizamento da reclamação trabalhista.
► Prescrição Suspensa ou Interrompida
Em alguns casos, o prazo prescricional para o ajuizamento de ação trabalhista

não está correndo, porque existem situações que paralisam a contagem ou
impedem o seu início, dentre as quais, destacam-se:
- Reconhecimento de vínculo de emprego (artigo 11 da CLT): é um direito

imprescritível, já que busca uma decisão judicial declaratória, ou seja, que visa
apenas o reconhecimento do vínculo e anotação em CTPS, podendo ser
proposta, portanto, a qualquer momento.
- Existência de absolutamente incapazes, como ocorre com o trabalhador

menor de 18 anos: contra ele não corre prazo prescricional (artigo 440 da CLT).
- Doenças ocupacionais, para as quais o prazo de prescrição apenas começa a

correr com a sua ciência inequívoca. Destaca-se que algumas doenças podem
se apresentar apenas depois de algum tempo (Súmula n° 230 do STF).
Portanto, será permitida a conservação de dados de ex trabalhadores que

possam fundamentar defesa judicial em pretensões que não estejam sujeitas a
prescrição.
► Fiscalização Trabalhista
A fiscalização trabalhista, realizada pelos auditores fiscais da Secretaria do

Trabalho, tem por objetivo verificar se os empregadores estão observando as
regras da legislação e, consequentemente, garantir a proteção do trabalhador
(artigo 626 da CLT). As infrações podem acarretar a aplicação de multas
pecuniárias ao infrator.
Assim, embora as fiscalizações possam ocorrer a qualquer momento durante a

relação de trabalho, após a rescisão contratual, o empregador deve atentar-se
ao período de guarda de cada tipo de documento, para apresentá-los à
Secretaria do trabalho, caso seja fiscalizado ou autuado por alguma infração.
► Tabela de Guarda de Documentos Trabalhistas, Previdenciários e

Fundiários
Os prazos previstos na legislação para guarda de documentos decorrentes da

relação de trabalho encontram-se disponíveis em:
Tabela Prática: Guarda de Documentos Trabalhistas, Previdenciários e FGTS

Os documentos com prazo indeterminado poderão ser solicitados a qualquer
tempo pelos auditores fiscais.
Após o decurso do prazo previsto em lei, os dados devem ser eliminados de

maneira segura pelo empregador/contratante, salvo se fundamentado em
pretensão imprescritível ou em causas que suspendam ou impeçam a
contagem da prescrição.
É dever do controlador, portanto, em adequação à LGPD, implantar uma gestão

de armazenamento dos dados de ex trabalhadores, especificando a finalidade e
prazo de guarda.
Boas Referências
A declaração de bons antecedentes funcionais ou carta de recomendação ou
referência não possui previsão na legislação trabalhista, ou seja, o ex
empregador não está obrigado a fornecê-la no momento da rescisão do
contrato de trabalho ou em eventual solicitação posterior, salvo se houver
previsão nas normas coletivas.
Em regra, a carta de recomendação serve para mencionar informações

adstritas ao contrato de trabalho, tais como: função, período do vínculo,
responsabilidades do cargo, qualidades profissionais, entre outras.
Não é permitido realizar anotações desabonadoras relativas a pessoa do

trabalhador (§ 4° do artigo 29 da CLT), em respeito ao princípio fundamental da
dignidade da pessoa humana assegurado constitucionalmente, o qual tem por
objetivo garantir o bem-estar do cidadão.
As informações contidas nessa declaração podem ser classificadas como

dados pessoais e dados pessoais sensíveis, já que dizem respeito ao
trabalhador. Esse compartilhamento, portanto, pode ser considerado ilícito nos
moldes da LGPD quando não fundamentado em solicitação do trabalhador
titular dos dados ou em convenção ou acordo coletivo de trabalho.
Não Concorrência
A cláusula de não concorrência reflete a impossibilidade de o trabalhador
realizar negociação por conta própria, ou por terceiros, que caracterize
concorrência à empresa para a qual trabalha ou prejudique o serviço.
Sua validade, em regra, tem aplicação durante a relação de trabalho, mas nada
impede que seja estendida após o seu término, desde que haja a concordância
do trabalhador, previsão no contrato de trabalho ou em termo aditivo e
definição de um limite temporal para a sua vigência, por exemplo, durante um
ano após o término do contrato de trabalho.
Nesta hipótese, tendo sido firmada cláusula de não concorrência, há o

entendimento de que o controlador poderia monitorar perfis no Linkedin, e
outras páginas públicas de redes sociais, de ex trabalhadores, durante o
período da vigência desta cláusula, pois, neste caso, esse monitoramento está
amparado no inciso IX do artigo 7º da LGPD, o qual estabelece que o
tratamento de dados pessoais pode ocorrer para atender aos interesses
legítimos do controlador ou de terceiro, exceto no caso de prevalecerem
direitos e liberdades fundamentais do titular que exijam a proteção dos dados
pessoais.
No entanto, é importante acompanhar posicionamento dos Tribunais por se

tratar de entendimento.
Trabalhador Falecido
A LGPD não trata expressamente da proteção de dados para pessoas falecidas,
apesar de mencionar que o titular do direito é a pessoa natural, para a qual sua
existência termina com a morte, de acordo com o Código Civil (artigo 6º da Lei
nº 10.406/2002).
Entretanto, há também no Código Civil (artigos 12 e 20) proteção para os

direitos da personalidade após a morte, de modo que os herdeiros podem
requerer indenização pelo uso indevido dos dados pessoais do falecido.
Especificamente em relação ao trabalhador, o empregador deve guardar os

documentos relativos ao extinto contrato de trabalho, durante o tempo
permitido em Lei, para fins de fiscalizações ou defesa judicial, aplicando-se o
entendimento preventivo de que os dados de pessoas falecidas também são
protegidos pela LGPD.
Eliminação de Dados
Procedimento
Eliminação é o procedimento de exclusão de dado ou de conjunto de dados

armazenados em banco de dados, independentemente do procedimento
empregado (inciso XIV do artigo 5º da LGPD). Implica dizer que o procedimento
de destruição de dados deve ser seguro para que não ocorra violação à LGPD e
eventual vazamento de informações.
Assim, quando o dado pessoal não for mais objeto de nenhuma operação de
tratamento, deve ser eliminado. Para garantir a eliminação segura de dados
pessoais, o empregador/contratante deve:
- Verificar o tempo de guarda previsto em Lei, ou se este dado deve ser
conservado por prazo indeterminado;
- Identificar todos os meios em que este dado possa ter sido replicado e
guardado (compartimentos físicos e eletrônicos); e
- Adotar um meio seguro para a eliminação que esteja registrado em sua

Política de Governança e Boas Práticas.
Quando a guarda dos dados ocorrer em meio físico, arquivando-se

documentos, estes devem ser destruídos completamente, cabendo, por
exemplo, o uso de triturador, ou ainda, desde que se tome o devido cuidado, o
uso de técnicas de dissolução de documentos com produtos químicos
específicos.
Quando os dados forem armazenados em mídias digitais, os arquivos e

backups, inclusive em nuvem, devem ser excluídos permanentemente.
O controlador também pode contratar uma empresa especializada em

destruição de documentos, que ficará responsável pela eliminação segura dos
dados pessoais.
Eliminação Obrigatória
Quando ocorre o término do contrato de trabalho, alguns dados pessoais

devem ser eliminados imediatamente, visto que o encerramento desta relação
acarreta o fim do período do tratamento, sem necessidade para apresentação
em defesa judicial ou em procedimento fiscalizatório.
É o caso, por exemplo, de dados necessários exclusivamente para pagamento

de benefícios para dependentes previstos em normas coletivas (inciso II do
artigo 15 da LGPD). Destaca-se que, havendo reclamatória trabalhista
pleiteando o pagamento do benefício previsto nas normas coletivas que se
estenda aos dependentes, o empregador pode demonstrar a quitação por meio
de holerites ou outro documento de demonstre o seu fornecimento, não sendo
necessário, portanto, armazenar dados pessoais dos dependentes do ex
empregado.
Ainda, cabe ao controlador verificar se coletou dados pessoais de ex

empregados e seus dependentes que não tenham fundamentação para guarda
após a rescisão contratual e providenciar a eliminação no momento do término
do contrato de trabalho, em razão do fim do período do tratamento. Fica
evidente, aqui, a importância dos dados estarem mapeados pelo empregador e
estruturados em uma Política de Governança e Boas Práticas.
Boas Práticas
Para que na fase pós contratual, os agentes de tratamento estejam em
consonância com as regras de proteção de dados pessoais, é necessário
estabelecer condutas preventivas.
Dessa forma, diante das recomendações decorrentes da LGPD, destacam-se

abaixo algumas condutas de boas práticas.
1º Passo: Identificar o Término do Tratamento
O controlador deve padronizar as condutas a serem adotadas nas rescisões

contratuais, encerrando as operações de tratamento com dados de ex
trabalhadores e seus dependentes, após cumpridas as obrigações acessórias
trabalhistas e outras eventualmente previstas em acordo ou convenção
coletiva.
2º Passo: Verificar as Hipóteses Legais de Armazenamento de Dados
Devem ser identificados os dados pessoais dos ex trabalhadores e

dependentes que poderão ser mantidos para fins fiscalizatórios e eventuais
defesas judiciais, durante o tempo autorizado em lei, desde que sejam
adotadas técnicas de segurança aptas a protegê-los.
Dados sem amparo legal para conservação devem ser eliminados. Destaca-se
a possibilidade de manutenção de dados de ex trabalhadores fundamentados
no seu consentimento expresso, desde que para uma finalidade específica,
previsto expressamente e com prazo estabelecido. Em relação aos tratamentos
realizados com base no consentimento, o controlador deve sempre possibilitar
ao trabalhador titular dos dados o direito à revogação a qualquer momento,
mediante manifestação expressa e por procedimento gratuito e facilitado (§ 5°
do artigo 8º da LGPD).
É possível adotar a anonimização como conduta de boas práticas para

conservação de dados de ex trabalhadores, quando ultrapassado o prazo de
guarda dos documentos.
3º Passo: Observar o Período de Guarda dos Dados
O recomendado é que o controlador organize o armazenamento de

documentos trabalhistas, previdenciários e do FGTS, por tipo de documento,
prazo de guarda autorizado em lei, além de outras classificações que possam
facilitar o controle quanto a conservação de dados pessoais.
Atentar-se a casos de pretensões imprescritíveis e documentos com prazo de

guarda indeterminado.
Destaca-se que, sempre, devem ser adotadas medidas de segurança, técnicas
e administrativas aptas a proteger os dados pessoais de acessos não
autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração,
comunicação ou qualquer forma de tratamento inadequado ou ilícito (artigo 46
da LGPD), mesmo após o término do tratamento.
4º Passo: Eliminar Dados de Maneira Segura
Quando o dado pessoal não for mais objeto de nenhuma operação de

tratamento, ele deve ser eliminado. Para garantir a eliminação segura de dados
pessoais, o controlador deve verificar o tempo de guarda previsto em Lei;
identificar todos os meios em que este dado pessoal possa ter sido replicado e
guardado (compartimentos físicos e eletrônicos); adotar um meio seguro para
a eliminação.
Aplicação
Muito embora o objetivo da LGPD seja a proteção de dados das pessoas
naturais, é certo que nas relações comercias, ainda que entre pessoas jurídicas,
há sempre inúmeros dados de pessoas físicas sendo transferidos, o que impõe
a observância das diretrizes previstas nesta norma também nessas relações.
É possível citar, como exemplo, o processamento, pelos escritórios de

contabilidade, de dados de empregados de clientes e seus dependentes, como
também de sócios para ajustes contratuais e cumprimento de obrigações
acessórias.
Por este motivo, sempre que se estiver diante de operações de tratamento que
envolvam dados de pessoas físicas, as medidas de proteção previstas na LGPD
devem estar implementadas.
Direitos do Titular
A pessoa física, titular dos dados, sempre deve ter garantido o direito de obter
do controlador as informações previstas no artigo 18 da LGPD.
Com isso, é necessário que, na coleta dos dados, o titular tenha conhecimento
ou, se for o caso, dado seu consentimento inequívoco, de que suas
informações estão sendo compartilhadas com demais agentes de tratamento,
para dessa forma, ter a possibilidade de exercer livremente seus direitos.
É fundamental então que, nas relações entre co-controladores ou controladores
e operadores, estejam ajustados contratualmente e de forma transparente os
meios para atendimento aos titulares.
O conceito de uso compartilhado de dados está previsto no inciso XVI do artigo
5º da LGPD, como sendo a comunicação, difusão, transferência internacional,
interconexão de dados pessoais ou tratamento compartilhado de bancos de
dados pessoais por órgãos e entidades públicos no cumprimento de suas
competências legais, ou entre esses e entes privados, reciprocamente, com
autorização específica, para uma ou mais modalidades de tratamento
permitidas por esses entes públicos, ou entre entes privados.
Dessa forma, nota-se que a LGPD permite o compartilhamento de dados entre

agentes de tratamento. Entretanto, para que a transferência de dados ocorra de
forma segura e de acordo com os princípios e fundamentos da norma, algumas
cautelas, descritas a seguir, devem ser observadas:
► Conhecimento: o titular dos dados deve ser informado sobre o

compartilhamento de seus dados pessoais e sobre as suas finalidades, mesmo
nas hipóteses de dispensa do consentimento (incisos I e II do artigo 6° e inciso
V do artigo 9° da LGPD);
► Consentimento específico: sempre que o tratamento de dados estiver

fundamentado no consentimento, e houver a necessidade de comunicar ou
compartilhar dados pessoais com outros agentes de tratamento, é necessário
obter consentimento específico do titular para o compartilhamento (§ 5° do
artigo 7° da LGPD);
► Transparência: o responsável que providenciar a correção, a eliminação, a

anonimização ou o bloqueio dos dados, deverá, imediatamente, comunicar o
procedimento adotado, aos agentes de tratamento com os quais tenha
realizado uso compartilhado de dados, para que repitam idêntico procedimento,
exceto nos casos em que esta comunicação seja
comprovadamente impossível ou implique esforço desproporcional (§ 6° do
artigo 18 da LGPD);
► Proibição: não é permitida a comunicação, ou o uso compartilhado entre

controladores de dados pessoais sensíveis referentes à saúde do titular, com
objetivos econômicos, inclusive para avaliação de risco, contratação ou
exclusão de beneficiários por operadoras de planos de saúde. No entanto, será
permitido o compartilhamento quando, em benefício do titular dos dados, se
tratar de prestação de serviços de saúde, de assistência farmacêutica e de
assistência à saúde, inclusive para permitir a portabilidade de dados solicitada
pelo titular, bem como as transações financeiras e administrativas referentes a
estes serviços (§ 4° do artigo 11 da LGPD);
► Regulamentação: o compartilhamento de dados pessoais sensíveis entre

controladores com o objetivo de obter vantagem econômica poderá ser objeto
de proibição ou de regulamentação por parte da autoridade nacional (§ 3° do
artigo 11 da LGPD).
Conceito
Prestação de serviços a terceiros é conceituado como a transferência feita pela
contratante da execução de quaisquer de suas atividades, inclusive sua
atividade principal, a outra pessoa jurídica de direito privado, prestadora de
serviços (artigo 4º-A da Lei 6.019/74).
A empresa prestadora de serviços é a responsável por contratar, remunerar e

dirigir o trabalho realizado por seus empregados, ou subcontratar outras
empresas para realização desses serviços (§ 1° do artigo 4º-A da Lei
6.019/74).
Assim, a terceirização ocorre quando há a contratação de uma empresa

prestadora de serviços, que irá ceder trabalhadores ao contratante (tomador),
para que executem as atividades previstas no contrato.
O contrato de prestação de serviços pode prever a terceirização da atividade

principal do tomador, que é aquela que consta no contrato social como objeto
da atividade empresarial, ou de atividades meio, que são aquelas não
relacionadas diretamente com o objeto social da empresa, como por exemplo,
serviços de limpeza e conservação, vigilância, manutenção de equipamentos
ou máquinas, entre outras.
Destaca-se que é proibido à contratante a utilização dos trabalhadores em

atividades distintas daquelas que foram objeto do contrato com a empresa
prestadora de serviços (§ 1° do artigo 5-A da Lei nº 6.019/74).
Atividade Fim
Atividade fim é a atividade principal da empresa, aquela que consta como objet
o do contrato social, ou seja, é o motivo pelo qual a empresa existe.
Com a inclusão do artigo 5º-A na Lei nº 6.019/74, pela Lei nº 13.429/2017,
ficou expressamente permitida a terceirização de quaisquer atividades do
tomador dos serviços, inclusive da sua atividade principal.
Controlador e Operador
Na terceirização de serviços, será necessário identificar a posição de cada
empresa, a fim de definir se as contratantes se enquadram como co-
controladoras ou controladora e operadora, o que dependerá da finalidade do
tratamento. Por este motivo, deve-se analisar qual o objeto do contrato de
prestação de serviços.
Desse modo, é recomendado sempre levar em consideração os dados

pessoais envolvidos na prestação de serviços, objeto do contrato, bem como,
os dados pessoais dos trabalhadores terceirizados.
Para melhor visualização, abaixo algumas situações hipotéticas:
1. Empresa de TV a cabo (tomadora) contrata uma empresa de call center

(prestadora/terceirizada) para realizar o atendimento aos clientes.
A empresa de call center é a controladora dos dados dos seus empregados

(terceirizados). E é operadora dos dados dos clientes da empresa de TV a cabo
(tomadora dos serviços), pois realiza tratamento nos dados pessoais dos
clientes da tomadora apenas para cumprir o contrato de prestação de serviços,
agindo em nome da empresa contratante (inciso VII do artigo 5º da LGPD).
Já a empresa contratante (tomadora dos serviços) é controladora dos dados

pessoais dos seus clientes e poderá ser considerada controladora dos dados
pessoais dos empregados da empresa de terceirização, em relação aos dados
dos trabalhadores terceirizados que estejam sendo coletados e armazenados,
como comprovantes de pagamento de salário, de recolhimento de INSS e
FGTS, cartões ponto, imagens de câmera de segurança, etc. Estes tratamentos
ocorrem, dentre outras, com a finalidade de se resguardar em eventuais
fiscalizações ou reclamatórias trabalhistas. Neste caso, o tratamento de dados
pessoais é realizado em seu próprio interesse.
2. Empresa contrata Escritório de Contabilidade para operacionalizar a folha de

pagamento.
A empresa contratante é a controladora dos dados dos seus empregados e

trabalhadores autônomos. O escritório de contabilidade contratado para gerar a
folha de pagamento será operador, já que tratará os dados pessoais em nome
da empresa contratante e apenas para as finalidades determinadas
contratualmente (inciso VII do artigo 5º da LGPD).
Compartilhamento
De acordo com o que determina o § 5° do artigo 7º da LGPD, o controlador que
obteve o consentimento do titular, e necessitar comunicar ou compartilhar
dados pessoais com outros controladores, deverá obter consentimento
específico do titular para esse fim, ressalvadas as hipóteses legais de dispensa
do consentimento.
Portanto, no caso de terceirização, trabalhadores e clientes que têm seus

dados pessoais tratados nessa relação jurídica, devem dar seu consentimento
específico para o compartilhamento das suas informações entre o tomador e o
prestador de serviços, quando esta for a base legal que legitima o tratamento
dos dados.
Em todo caso, entretanto, é dever do controlador que coletou os dados realizar

esse procedimento de forma adequada e informar ao titular os
compartilhamentos com outros agentes de tratamento. É uma conduta que
reflete o cumprimento ao princípio da transparência e a autodeterminação
informativa que fundamentam o direito previsto no inciso V do artigo 9° da
LGPD, o qual estabelece que é direito do titular dos dados o acesso facilitado
às informações acerca do uso compartilhado de dados e sua finalidade.
Direitos Trabalhistas
De acordo com o artigo 4°-C da Lei 6.019/74, são asseguradas aos
empregados da empresa prestadora de serviços, quando e enquanto os
serviços forem executados nas dependências da tomadora, além de outras que
podem ser previstas contratualmente, as mesmas condições relativas a:
- Alimentação garantida aos empregados da contratante, quando oferecida em
refeitórios;
- Utilização dos serviços de transporte;
- Atendimento médico ou ambulatorial existente nas dependências da

contratante ou local por ele designado;
- Treinamento adequado, fornecido pela contratada, quando a atividade o exigir;
- Medidas sanitárias, de proteção à saúde e segurança no trabalho e de
instalações adequadas à prestação do serviço.
Nota-se, portanto, que poderá haver o compartilhamento de dados pessoais

dos trabalhadores terceirizados com a empresa contratante, tomadora dos
serviços, como, por exemplo, dados relativos à saúde do trabalhador, para
assegurar o atendimento médico ou ambulatorial, ou dados do endereço, no
caso de fornecimento de serviços de transporte.
Nesse caso, a orientação é que o compartilhamento de dados esteja previsto

no contrato de trabalho do empregado terceirizado, com a especificação dos
dados pessoais que serão transferidos e as finalidades do tratamento. (§ 5° do
Direitos dos Titulares

De acordo com a LGPD, os titulares dos dados pessoais envolvidos na
terceirização, sejam eles clientes ou os próprios trabalhadores, terão
assegurada a titularidade dos seus dados pessoais e garantidos os direitos
fundamentais de liberdade, intimidade e de privacidade (artigo 17 da LGPD).
Além disso, o titular também tem direito de obter dos controladores, em relação
aos seus dados, a qualquer momento e mediante requerimento expresso
(artigo 18 da LGPD):
- Confirmação da existência de tratamento e acesso aos dados;
- Correção de dados incompletos, inexatos ou desatualizados;
- Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos

ou tratados em desconformidade com a LGPD;
- Portabilidade dos dados a outro fornecedor de serviço ou produto, observados

os segredos comercial e industrial;
- Eliminação dos dados pessoais tratados com o consentimento do titular,

exceto nas hipóteses previstas no artigo 16 da LGPD;
- Informação das entidades públicas e privadas com as quais o controlador

realizou uso compartilhado de dados;
- Informação sobre a possibilidade de não fornecer consentimento, as

consequências da negativa e a possibilidade de revogação do consentimento.
É direito também do titular dos dados peticionar contra o controlador perante a
ANPD e se opor ao tratamento realizado com fundamento em uma das
hipóteses de dispensa do consentimento, caso as regras de proteção de dados
não estejam sendo observadas (§ 1° e § 2° do artigo 18 da LGPD).
Na terceirização, onde ocorre a transferência de inúmeros dados pessoais

entre a empresa contratante e a prestadora de serviços, é importante ter
atenção, pois sempre que houver correção, eliminação, anonimização ou
bloqueio dos dados, os agentes de tratamento com que houve
compartilhamento devem ser comunicados imediatamente para que repitam o
mesmo procedimento, exceto nos casos em que esta comunicação seja
comprovadamente impossível ou implique esforço desproporcional (§ 6° do
artigo 18 da LGPD).
Exercício dos Direitos pelo Titular
A fim de garantir o exercício dos direitos pelo titular dos dados, os

controladores deverão adotar algumas providências, dentre as quais, é possível
citar:
1. Indicar o Encarregado e divulgar publicamente, de forma clara e objetiva,

as suas informações de contato, de preferência no seu site oficial;
2. Criar um canal de comunicação para acesso aos dados pessoais e
informações sobre o tratamento (plataforma, aplicativo ou e-mail
específico);
3. Receber as solicitações dos titulares e atendê-las no prazo legal;
4. Adotar procedimentos eficientes e facilitados, para acompanhamento
dos requerimentos pelos titulares.
Adequação Contratual
A terceirização deve ser formalizada mediante contrato de prestação de serviço
s, conforme artigo 5-A da Lei n° 6.019/74.
De acordo com o que estabelece o artigo 5°-B da Lei nº 6.019/74, o contrato de
prestação de serviços conterá:
- Qualificação das partes;
- Especificação do serviço a ser prestado;
- Prazo para realização do serviço, quando for o caso;
- Valor.
Em razão da LGPD, é imprescindível que o contrato de prestação de serviços
esteja atualizado com disposições sobre a proteção de dados. É dever das
empresas contratantes conferir reciprocamente se estão adequadas à LGPD,
especialmente em razão do artigo 42 da LGPD que estabelece a
responsabilidade solidária entre os agentes de tratamento.
Recomenda-se, com isso, que o contrato de prestação de serviços disponha

sobre:
1. Cláusulas sobre proteção de dados;

2. Indicação dos dados pessoais tratados e suas finalidades;
3. Especificação sobre as operações de tratamento a serem realizadas;
4. Posição de cada empresa quanto aos tratamentos realizados
(controladora ou operadora);
5. Responsabilidades (artigos 42 a 45 da LGPD);
6. Medidas de segurança empregadas e procedimentos adotados em caso
de vazamento de dados (artigos 46 a 49 da LGPD);
7. Consentimento ou ciência específica dos titulares quanto ao
compartilhamento dos seus dados pessoais (§ 5° do artigo 7º e inciso V
do artigo 9° da LGPD);
8. Garantia dos direitos pelos titulares dos dados.
Monitoramento
Além de atualizar os contratos de prestação de serviços, será necessário

manter um monitoramento periódico, para garantir a conformidade com a
LGPD e, além disso, identificar se foi realizado algum tratamento irregular e
quais medidas corretivas foram adotadas.
Procedimentos
Para garantir o tratamento regular dos dados, bem como, o exercício dos
direitos pelo titular, os agentes de tratamento devem adotar medidas de
segurança e boas práticas, dentre elas, algumas que merecem destaque, estão
indicadas a seguir:
- Realizar o mapeamento dos dados pessoais, mantendo registro das

operações de tratamento e elaborarando o relatório de impacto à proteção de
dados pessoais, sempre que necessário (artigos 37 e 38 da LGPD);
- Indicar o Encarregado e divulgar publicamente, de forma clara e objetiva, as

suas informações de contato, de preferência no seu site oficial (artigo 41 da
LGPD);
- Criar um canal de comunicação para acesso aos dados pessoais e

informações sobre o tratamento (plataforma, aplicativo ou e-mail específico);
- Receber as solicitações dos titulares e atendê-las no prazo legal (artigo 19 da
LGPD);
- Adotar procedimentos eficientes e facilitados, para acompanhamento dos

requerimentos pelos titulares;
- Especificar as medidas de segurança empregadas e procedimentos adotados

em caso de vazamento de dados, inclusive quanto a comunicação à ANPD e ao
titular (artigos 46 a 49 da LGPD);
- Os sistemas utilizados para o tratamento de dados pessoais devem ser

estruturados de forma a atender aos requisitos de segurança, aos padrões de
boas práticas e de governança e aos princípios gerais previstos na LGPD e às
demais normas regulamentares (artigo 49 da LGPD);
- Formular regras de boas práticas e de governança que estabeleçam as

condições de organização, o regime de funcionamento, os procedimentos,
incluindo reclamações e petições de titulares, as normas de segurança, os
padrões técnicos, as obrigações específicas para os diversos envolvidos no
tratamento, as ações educativas, os mecanismos internos de supervisão e de
mitigação de riscos e outros aspectos relacionados ao tratamento de dados
pessoais (artigo 50 da LGPD);
- Revisar e aditar os contratos de prestação de serviços para incluir cláusulas

sobre a proteção e confidencialidade de dados pessoais (clientes ou
trabalhadores);
- Obter o consentimento ou ciência específica dos titulares dos dados tratados,

inclusive quanto a possíveis compartilhamentos com terceiros e órgãos
públicos (§ 5° do artigo 7º e inciso V do artigo 9° da LGPD);
- Indicar os dados pessoais tratados, finalidades, operações de tratamento que

serão realizadas, enquadramento e responsabilidade de cada empresa (artigo
42 da LGPD);
- Respeitar o princípio da transferência, por meio de informações claras e

objetivas (inciso VI do artigo 6º da LGPD).
Conceito
O grupo econômico é caracterizado, pela legislação trabalhista, sempre que
uma ou mais empresas, embora com personalidade jurídica própria, estiverem
sob a direção, controle ou administração de outra, ou ainda quando, mesmo
guardando cada uma sua autonomia, demonstrem efetiva comunhão de
interesses e atuação conjunta (§§ 2° e 3° do artigo 2° da CLT).
Em termos práticos, o grupo econômico pode ser identificado como o conjunto
de pessoas jurídicas que se unem para potencializar a sua produtividade,
diminuindo custos, visando maior lucratividade e crescimento circunstancial no
mercado.
Não Caracteriza Grupo Econômico
É importante ter atenção ao fato de que a mera identidade de sócios não

caracteriza grupo econômico. É essencial que os interesses estejam
integrados, com uma atuação conjunta das empresas (§ 3° do artigo 2º da
CLT).
Empresa Multinacional
As empresas multinacionais, ou ainda empresas brasileiras localizadas no
exterior, também estarão sujeitas às regras da LGPD sempre que (artigo 3º da
LGPD):
 A operação de tratamento for realizada em território brasileiro;

 A atividade de tratamento tenha por objetivo a oferta ou o fornecimento
de bens ou serviços, ou o tratamento de dados de indivíduos, localizados
no território brasileiro; ou
 Os dados pessoais objeto do tratamento tenham sido coletados no
território brasileiro.
É comum, em empresas multinacionais, a transferência para filiais ou sede

localizada fora do território brasileiro de dados pessoais de clientes,
consumidores, prestadores de serviços, empregados, etc.
Nesta transferência, será preciso observar as medidas de proteção previstas na

LGPD, mas principalmente ter especial atenção pois este compartilhamento de
dados somente é permitido nas seguintes hipóteses (artigo 33 da LGPD):
1. Para países ou organismos internacionais que proporcionem grau de

proteção de dados pessoais adequado ao previsto na LGPD, o qual será
avaliado pela ANPD (artigo 34 da LGPD);
Quando o controlador oferecer e comprovar garantias de cumprimento dos

princípios, dos direitos do titular e do regime de proteção de dados previstos na
LGPD, na forma de cláusulas contratuais específicas para determinada
transferência, cláusulas-padrão contratuais, normas corporativas globais e
selos, certificados e códigos de conduta regularmente emitidos.
2. Esta hipótese se encontra pendente de regulamentação pela ANPD (artigo 35

da LGPD).
3. Quando a transferência for necessária para a cooperação jurídica
internacional entre órgãos públicos de inteligência, de investigação e de
persecução, de acordo com os instrumentos de direito internacional;
4. Quando a transferência for necessária para a proteção da vida ou da

incolumidade física do titular ou de terceiro;
Como exemplo, pode-se citar a transferência de dados médicos de um

brasileiro que esteja em viagem no exterior e que, durante este período, se
acidentou. Neste caso, o prontuário médico do titular é fundamental para que
ele receba o atendimento médico adequado, enquanto permanecer em outro
país.
5. Quando a ANPD autorizar a transferência;
6. Quando a transferência resultar em compromisso assumido em acordo de

cooperação internacional;
7. Quando a transferência for necessária para a execução de política pública ou

atribuição legal do serviço público;
8. Quando o titular tiver fornecido o seu consentimento específico e em

destaque para a transferência, com informação prévia sobre o caráter
internacional da operação, distinguindo claramente esta de outras finalidades;
9. Quando necessário para: cumprimento de obrigação legal ou regulatória pelo

controlador, execução de contrato ou de procedimentos preliminares, para o
exercício regular de direitos em processo judicial, administrativo ou arbitral.
Encarregado
De acordo com o artigo 41 da LGPD, o controlador deverá indicar o
encarregado pelo tratamento de dados pessoais.
Entretanto, em se tratando de grupo econômico, há entendimento,

fundamentado, por analogia, na Teoria do Empregador Único prevista na
Súmula n° 129 do TST, sustentando ser possível a indicação de apenas um
encarregado para as empresas que compõem o mesmo grupo econômico.
Em razão da omissão da LGPD sobre o tema, é preciso acompanhar sua

regulamentação pela ANPD.
A título de esclarecimento, a Teoria do Empregador Único reconhece a

possibilidade de que o empregado de qualquer empresa do grupo econômico
preste serviços para todas ou algumas da demais empresas participantes
desta conglomeração, sem caracterizar mais de um vínculo de emprego, desde
que essa prestação de serviços ocorra dentro da mesma jornada de trabalho.
Dados dos Empregados

A Súmula n° 129 do TST estabelece que a prestação de serviços a mais de uma
empresa do mesmo grupo econômico, durante a mesma jornada de trabalho,
não caracteriza a coexistência de mais de um contrato de trabalho, salvo ajuste
em contrário.
Nesta hipótese, permitida pela legislação trabalhista, desde que não haja
previsão em sentido contrário no contrato de trabalho, haverá
compartilhamento de dados pessoais do trabalhador entre as empresas do
grupo econômico, que deverá constar no contrato de trabalho, ou em termo
aditivo, em respeito ao princípio da transparência e da autodeterminação
informativa, previstos no inciso II do artigo 2° e no inciso VI do artigo 6° da
LGPD.
Além da adequação contratual, considerando que o compartilhamento de

dados, nesta hipótese, pode ocorrer em grande volume e frequência, é preciso
ter atenção às medidas de proteção que estão sendo aplicadas para garantir a
conformidade com a LGPD.
Dados Pessoais de Clientes

Quando uma das empresas do grupo econômico coleta os dados de clientes
com a finalidade de compartilhar com as demais empresas, é necessário ter
consentimento específico para esse fim, quando esta for a base legal que
legitima o tratamento dos dados, ou dar ciência ao titular sobre o uso
compartilhado (inciso VI do artigo 6° e inciso I e § 5° do artigo 7º da LGPD).
Por este motivo, é essencial que todas as empresas do grupo realizem o

mapeamento dos dados tratados por cada uma delas para identificar a
necessidade dos dados, suas finalidades, bases legais que autorizam o
tratamento e os requisitos específicos para o compartilhamento.
É essencial também garantir os direitos dos titulares e disponibilizar a forma

como serão exercidos.
Além disso, o cliente deve ser informado sobre a Política de Privacidade das
empresas que tratarão seus dados, o que pode ser disponibilizado, por
exemplo, no site do grupo empresarial.
Direitos do Titular
Segundo a LGPD, o titular dos dados pessoais vai exercer os seus direitos
mediante requerimento expresso apresentado ao controlador (§ 3° do artigo 18
da LGPD).
Para atender aos requerimentos, os controladores, ou seja, as empresas do

grupo econômico precisam estabelecer um procedimento interno para garantir
os direitos previstos na LGPD e confirmar a identidade do titular, com o objetivo
de não fornecer acesso ou informações para pessoas não autorizadas,
ocasionando um incidente no tratamento dos dados.
Para a conferência da identidade do titular, pode-se adotar as seguintes

condutas:
a. Solicitar que o requerente confirme dados que o controlador já tenha

coletado, e tenha armazenado em seu banco de dados;
b. Conferir documentos oficiais do requerente, para checar a sua identidade.
Boas Práticas
Condutas de boas práticas devem ser adotadas para que o tratamento de
dados pessoais ocorra em respeito à LGPD.
A seguir são indicadas algumas medidas específicas para o grupo econômico,

que merecem a atenção dos agentes de tratamento, lembrando que outras
condutas gerais devem ser adotadas como: instituir comitê e medidas de
segurança; divulgar informações de contato do encarregado; disponibilizar um
canal de comunicação e garantir o livre acesso aos titulares de dados;
promover capacitação e conscientização dos empregados; elaborar o Relatório
de Impacto à Proteção de Dados Pessoais; adotar medidas de segurança e
realizar revisões periódicas quanto aos processos que envolvem o tratamento
de dados pessoais.
Para as medidas gerais, orienta-se a leitura das orientações disponíveis em

Mapeamento de Dados – Boas Práticas.
 Implementar adequação nas plataformas e sistemas para que os
titulares tenham acesso a informações sobre os seus dados pessoais e
exerçam seus direitos;
 Elaborar políticas para a proteção de dados pessoais, como termos de
uso, política de privacidade e termo de consentimento;
 Mapear os processos que utilizam dados pessoais de empregados e
clientes;
 O compartilhamento de dados pessoais com outras empresas do grupo
deve ser autorizado ou informado ao titular, a depender da base legal
que legitima o tratamento de dados;
 Adequar os contratos para prever cláusulas relativas à proteção de
dados;
 Quando o mesmo trabalhador prestar serviços a mais de uma empresa
do grupo, essa condição deve estar prevista no contrato de trabalho e o
compartilhamento de dados pessoais deve ser autorizado ou informado
ao titular, a depender da base legal que legitima o tratamento de dados.
Conceito
O sistema de Franquia Empresarial é regulamentado pela Lei nº 13.966/2019,
que revogou a Lei nº 8.955/94.
Nos termos da Lei, a franquia empresarial é o sistema pelo qual um

franqueador autoriza, por meio de contrato, um franqueado a usar marcas e
outros objetos de propriedade intelectual, sempre associados ao direito de
produção ou distribuição exclusiva ou não exclusiva de produtos ou serviços e
também ao direito de uso de métodos e sistemas de implantação e
administração de negócio ou sistema operacional desenvolvido ou detido pelo
franqueador, mediante remuneração direta ou indireta, sem caracterizar relação
de consumo ou vínculo empregatício em relação ao franqueado ou a seus
empregados, ainda que durante o período de treinamento (artigo 1º da Lei nº
13.966/2019).
Desse modo, a franquia é uma forma de negócio empresarial, pelo qual o

proprietário de uma marca (franqueador) concede autorização de uso, por meio
de contrato, à um investidor (franqueado), para que ele reproduza um modelo
de negócio que já é conhecido no mercado, com o objetivo de estabelecer
padrões de processos que envolvem a marca.
Implantação
Para a implantação da franquia, o franqueador deverá fornecer ao interessado
Circular de Oferta de Franquia, escrita em língua portuguesa, de forma objetiva
e acessível, que conterá, obrigatoriamente, algumas informações, dentre elas
(artigo 2º da Lei nº 13.966/2019):
 Relação completa de todos os franqueados, subfranqueados ou
subfranqueadores da rede e, também, dos que se desligaram nos
últimos 24 meses, com os respectivos nomes, endereços e telefones
(inciso X do artigo 2º da Lei nº 13.966/2019).
Portanto, a Lei de Franquias contempla a previsão de compartilhamento de

dados pessoais dos franqueados, subfranqueados ou subfranqueadores, pelo
franqueador aos interessados.
Como a previsão decorre da Lei n° 13.966/2019, não há a necessidade de

obtenção do consentimento dos franqueados, subfranqueados ou
subfranqueadores, para seus dados sejam disponibilizados na Circular de
Oferta (inciso II do artigo 7º da Lei nº 13.709/2018). Entretanto, como esses
dados são compartilhados com os interessados, os titulares dos dados devem
ter conhecimento desta transferência.
O controlador é o agente de tratamento a quem cabe tomar as decisões
referentes ao tratamento de dados pessoais (inciso VI do artigo 5º da LGPD).
Já o operador é a pessoa natural ou jurídica que realiza o tratamento de dados

pessoais em nome do controlador (inciso VII do artigo 5º da LGPD).
Assim, em se tratando de franquias, o franqueador pode ser considerado o

controlador e o franqueado ou subfranqueado, como operadores, quando os
dados dos clientes estejam sob responsabilidade do franqueador, conforme
definido no contrato de franquia.
Entretanto, ainda é possível que cada franqueado ou subfranqueado seja

considerado controlador quando forma uma base de dados,
independentemente do franqueador.
Poderão, franqueador e franqueado, ser considerados também como

controladores quando atuarem em conjunto em ações específicas de
engajamento, já que as decisões operacionais caberão às duas partes.
Dessa forma, é recomendado que o contrato de franquia preveja a

responsabilidade de cada empresa, definindo, quem será controlador e quem
será operador, de acordo com os tratamentos que realizarem.

Encarregado - DPO
O encarregado é a pessoa indicada pelo controlador e operador para atuar
como canal de comunicação entre o controlador, os titulares dos dados e a
Autoridade Nacional de Proteção de Dados (inciso VIII do artigo 5º da LGPD).
Em se tratando de franquia, há a recomendação de que cada pessoa jurídica

distinta possua um encarregado próprio, para que as diretrizes da LGPD sejam
aplicadas a partir das características operacionais de cada franqueado.
Entretanto, seria possível franqueador e franqueados indicarem apenas um
encarregado pela proteção de dados pessoais, quando as operações da marca
estão centralizadas na franqueadora. Por isso, é essencial que esta decisão
esteja fundamentada no modelo de negócio de cada franquia.
Por fim, considerando que a LGPD não estabelece taxativamente orientações

sobre o tema, é preciso acompanhar sua regulamentação pela ANPD (§ 3° do
artigo 41 da LGPD).
Adequação Contratual
Diante das regras de Proteção de Dados pessoais, será necessário adequar o
contrato de franquia para que contenha disposições sobre a proteção de
dados, já que nesta relação há, pelo menos, tratamento de dados pessoais de
empregados, franqueados e clientes.
Assim, é importante que o contrato contenha informações específicas, sobre:
1. Cláusulas sobre proteção de dados;

2. Indicação de quais dados pessoais serão tratados, finalidades e bases
legais que autorizam o tratamento;
3. Especificação sobre o tratamento dos dados pessoais por cada empresa
(coleta, utilização, armazenamento, compartilhamento, eliminação);
4. Quais as operações de tratamento que serão realizadas por cada
empresa;
5. Posição de cada empresa quanto aos tratamentos realizados
(controladora ou operadora);
6. Responsabilidade de cada empresa quanto as operações de tratamento
de dados (artigos 42 a 45 da LGPD);
7. Especificação das medidas de segurança que serão empregadas, e
quais os procedimentos adotados em caso de vazamento de dados
(artigos 46 a 49 da LGPD);
8. Consentimento específico ou ciência dos titulares, a depender da base
legal que autoriza o tratamento, quanto ao compartilhamento dos seus
dados pessoais. O consentimento deverá constar de cláusula destacada
das demais cláusulas contratuais, ou em documento a parte (inciso I do
artigo 7º, § 1° do artigo 8º da LGPD);
9. As formas de exercício dos direitos pelos titulares dos dados pessoais,
como o livre acesso, possibilidade de correção de dados inexatos ou
desatualizados, revogação do consentimento, entre outros constantes
no artigo 18 da LGPD;
10. Informações claras e objetivas (inciso VI do artigo 6º da LGPD).
Revisão Constante
Além de atualizar os contratos de franquia, será necessário manter um

monitoramento periódico, para garantir a conformidade com a LGPD, e, além
disso, identificar se foi realizado algum tratamento irregular e quais medidas
corretivas foram adotadas.
O franqueador é o detentor da marca, do produto ou serviço. Assim, havendo a

violação a LGPD por um dos seus franqueados, poderá ser responsabilizado
pelo descumprimento da Lei, além de ver sua marca ser desvalorizada no
mercado, em razão de um incidente com dados pessoais, o que pode prejudicar
todo o sistema de franquia.
Portanto será necessário, dentre outras medidas de boas práticas, revisar os

contratos de franquia para adaptá-los à LGPD, inserindo cláusulas sobre a
proteção de dados pessoais, inserir termos de uso e política de privacidade,
além de capacitar as pessoas envolvidas no negócio.
Relações de Consumo
Em uma relação de consumo, normalmente é necessário o preenchimento de
cadastros, onde o consumidor informa seu nome completo, CPF, endereço, e-
mail, telefone, entre outros, ou seja, inúmeros dados pessoais são fornecidos
para possibilitar a aquisição de produtos ou serviços, o que torna o
cumprimento da LGPD obrigatória.
Por este motivo, o tratamento de dados pessoais de consumidores deve estar

fundamentado em bases legais que o autorize e identificados para finalidades
específicas.
Código de Defesa do Consumidor
O Código de Defesa do Consumidor - CDC (Lei nº 8.078/90) impôs limitações

quanto ao uso das informações de dados pessoais dos consumidores em
cadastros de empresas, estabelecendo que:
► O consumidor terá acesso às informações existentes em cadastros, fichas,
registros e dados pessoais e de consumo arquivados sobre ele, bem como
sobre as suas respectivas fontes (artigo 43 do CDC);
► Os cadastros e dados de consumidores devem ser objetivos, claros,

verdadeiros e em linguagem de fácil compreensão, não podendo conter
informações negativas referentes a período superior a cinco anos (§ 1° do
artigo 43 do CDC);
► A abertura de cadastro, ficha, registro e dados pessoais e de consumo

deverá ser comunicada por escrito ao consumidor, quando não solicitada por
ele (§ 2° do artigo 43 do CDC);
► O consumidor, sempre que encontrar inexatidão nos seus dados e

cadastros, poderá exigir sua imediata correção, devendo o arquivista, no prazo
de cinco dias úteis, comunicar a alteração aos eventuais destinatários das
informações incorretas (§ 3° do artigo 43 do CDC);
► Os bancos de dados e cadastros relativos a consumidores, os serviços de

proteção ao crédito e congêneres são considerados entidades de caráter
público (§ 4° do artigo 43 do CDC);
► Consumada a prescrição relativa à cobrança de débitos do consumidor, não

serão fornecidas, pelos respectivos Sistemas de Proteção ao Crédito, quaisquer
informações que possam impedir ou dificultar novo acesso ao crédito junto aos
fornecedores (§ 5° do artigo 43 do CDC);
► Todas as informações elencadas acima devem ser disponibilizadas em

formatos acessíveis, inclusive para a pessoa com deficiência, mediante
solicitação do consumidor (§ 6º do artigo 43 do CDC);
► Os órgãos públicos de defesa do consumidor manterão cadastros

atualizados de reclamações fundamentadas contra fornecedores de produtos e
serviços, devendo divulgá-lo pública e anualmente. A divulgação indicará se a
reclamação foi atendida ou não pelo fornecedor (artigo 44 do CDC);
► Os contratos que regulam as relações de consumo não obrigarão os

consumidores, se não lhes for dada a oportunidade de tomar conhecimento
prévio de seu conteúdo, ou se os respectivos instrumentos forem redigidos de
modo a dificultar a compreensão de seu sentido e alcance (artigo 46 do CDC).
Marketing Digital
Outro ponto de impacto causado pela Lei Geral de Proteção de Dados está
atrelado ao marketing digital, visto que, atualmente, se trata do principal meio
de coleta de dados pessoais.
Assim, as empresas do ramo de tecnologia de informação e de marketing,

quando coletam dados e formulários por meio de landing pages (página de
divulgação de um produto), devem instituir Política de Privacidade em
conformidade com a Lei Geral de Proteção de Dados.
Dessa forma, os potenciais clientes devem concordar com a Política de

Privacidade e com os termos e serviços ofertados, mediante consentimento
específico quanto ao uso dos seus dados pessoais.
O consentimento do titular deve ocorrer em qualquer canal de coleta de dados

que seja utilizado pela empresa, a exemplo de: páginas de divulgação de
produtos, formulários, assinaturas de boletins informativos.
Destaca-se que as ações de remarketing também são impactadas pela LGPD. O

remarketing, que em livre tradução significa “fazer marketing novamente”, trata-
se de uma ferramenta que possibilita que os anúncios do Google Adwords
apareçam mais do que uma vez para a mesma pessoa.
Portanto, para estar em conformidade com a Lei Geral de Proteção de Dados, é

necessário informar ao titular que os seus dados serão salvos e podem vir a ser
utilizados novamente, para anúncios de produtos ou serviços. Essa informação
deve aparecer na página inicial do site da empresa, trazendo o aviso a respeito
dos cookies e o pedido de consentimento do titular.
Dessa forma, já é possível notar que a LGPD vai proporcionar mais

confiabilidade às empresas, já que visa aumentar a segurança dos clientes que
com ela interagem e firmam relações de consumo.
Estratégias Promocionais
O contexto digital transformou as ações de marketing, proporcionando
estratégias promocionais em sites, plataformas digitais, aplicativos, que
direcionam o consumidor para participar de sorteios de prêmios e ganhar
descontos em produtos, só que, para isso, o usuário deve realizar o
preenchimento de um cadastro, no qual precisa informar alguns dados
pessoais, como nome, endereço, CPF, Identidade, telefone, e-mail, entre outros.
Portanto, coletar dados de potenciais clientes é, sem dúvida, uma grande
estratégia de marketing.
Entretanto, quem oferece benefícios como sorteios de prêmios ou cupons de

descontos, almejando à captação de clientes e o aumento de vendas, deve,
principalmente, preocupar-se com a guarda dessas informações pessoais, para
que não sejam usadas indevidamente.
Dessa forma, para que as ações promocionais possam continuar sendo

aplicadas de maneira lícita, a LGPD deverá ser implementada nas relações de
consumo, inclusive no que se refere as práticas de marketing.
Boas Práticas
Assim, diante das diretrizes impostas pela Lei Geral de Proteção de Dados, o
controlador deverá adotar condutas de conformidade com a Lei, dentre as
quais, destacam-se
- Mapear os dados que são coletados e tratados;

pessoais;
- Verificar as finalidades empregadas no uso dos dados pessoais de

consumidores;
- Capacitar funcionários quanto as medidas de segurança e boas práticas para

o tratamento de dados pessoais;
- Adequar os contratos com empresas parceiras ou terceirizadas, para que

contenham regras de proteção de dados pessoais;
- Observar as regras do Código de Defesa do Consumidor;
- Coletar o consentimento do titular, sempre que não houver outra base legal
que autorize o tratamento dos dados;
- Verificar se há previsão legal que autorize o uso dos dados pessoais, com a
dispensa do consentimento;
- Informar aos titulares dos dados, antes da coleta, quais as finalidades do

tratamento, por meio da política de privacidade, termos de uso ou outro
documento pertinente;
- Disponibilizar informações na página inicial do site da empresa, sobre o uso
dos cookies e o pedido de consentimento do titular;
- Informar ao titular que os seus dados serão salvos e podem vir a ser utilizados
novamente, para anúncios de produtos ou serviços (ações de remarketing);
- Divulgar informações claras e objetivas aos titulares dos dados;
- Fixar um prazo para a guarda dos dados ou observar o prazo legal, se houver;
- Elaborar a política de privacidade para cada plataforma ou ação promocional;
- Realizar o tratamento de dados pessoais de crianças e de adolescentes em

seu melhor interesse e com o consentimento específico e em destaque dado
por pelo menos um dos pais ou pelo responsável legal;
- Disponibilizar um canal de comunicação para que o titular dos dados obtenha

informações sobre os tratamentos realizados com os seus dados pessoais, e
exerça os seus direitos;
- Elaborar o Relatório de Impacto à proteção de dados pessoais;
- Revisar periodicamente as medidas de segurança, e adotar providências

corretivas caso necessário.
Ocorrência
Segundo o artigo 44 da LGPD, o tratamento de dados pessoais será irregular
quando deixar de observar a legislação ou quando não fornecer a segurança
que o titular dele pode esperar, consideradas as circunstâncias relevantes,
entre as quais:
1. modo pelo qual é realizado;

2. O resultado e os riscos que razoavelmente dele se esperam;
3. As técnicas de tratamento de dados pessoais disponíveis à época em
que foi realizado;
4. Ciclo de Vida dos Dados.
Em linhas gerais, o uso indevido dos dados pode ser caracterizado quando as
regras de proteção de dados previstas na LGPD não são aplicadas ou
intencionalmente descumpridas, podendo acarretar um incidente com os dados
pessoais e, consequentemente, a responsabilização dos agentes de
tratamento.

Ciclo de Vida dos Dados
Para que o tratamento de dados pessoais seja regular, é necessário aplicar e
cumprir as medidas previstas na LGPD. Nesta análise, tem um papel importante
o ciclo de vida dos dados traçado após o mapeamento.
Isto porque, a partir dele, controlador e operador serão capazes de verificar

todas as etapas de tratamento em sua atividade e as condutas que foram
implementadas em adequação à norma de proteção.
Em especial, destacam-se as seguintes etapas do ciclo de vida e os pontos

mais relevantes de cada uma:
Coleta
É requisito essencial para a LGPD identificar os dados que precisam de fato ser
coletados, a fim de se obter o mínimo necessário para o tratamento, o qual
deve ser direcionado para uma finalidade específica e estar fundamentado em
uma base legal que ampara o tratamento (artigo 6º da LGPD).
Processamento
Conforme estabelece a LGPD, tratamento é toda operação realizada com dados

pessoais, como as que se referem à coleta, produção, recepção, classificação,
utilização, acesso, reprodução, transmissão, distribuição, processamento,
arquivamento, armazenamento, eliminação, avaliação ou controle da
informação, modificação, comunicação, transferência, difusão ou extração
(inciso X do artigo 5º da LGPD).
Nota-se que a simples coleta ou acesso a qualquer dado pessoal já configura

tratamento. Por esse motivo, deve-se verificar e restringir-se às operações
necessárias até que se chegue ao eliminação do dado, em respeito ao Princípio
da Necessidade (inciso III do artigo 6° da LGPD).
Término
De acordo com o artigo 15 da LGPD, o término do tratamento de dados

pessoais ocorrerá nas seguintes hipóteses:
1. Verificação de que a finalidade foi alcançada ou de que os dados

deixaram de ser necessários ou pertinentes ao alcance da finalidade
específica almejada;
2. Fim do período de tratamento;
3. Comunicação do titular, inclusive no exercício de seu direito de
revogação do consentimento, resguardado o interesse público;
4. Determinação da autoridade nacional, quando houver violação ao
disposto nesta Lei.
Em regra, os dados pessoais serão eliminados após o término de seu

tratamento (artigo 16 da LGPD). Entretanto, a LGPD autoriza a conservação dos
dados para as seguintes finalidades:
1. Cumprimento de obrigação legal ou regulatória pelo controlador (inciso I do

artigo 16);
2. Estudo por órgão de pesquisa, garantida, sempre que possível, a

anonimização dos dados pessoais (inciso II do artigo 16 da LGPD);
3. Transferência a terceiro, desde que respeitados os requisitos de tratamento

de dados dispostos na LGPD (inciso III do artigo 16 da LGPD); ou
4. Uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que
anonimizados os dados (inciso IV do artigo 16 da LGPD).
Com isso, fica claro que a retenção de dados por prazo indefinido, sem uma
base legal que a autorize, configura o uso indevido dos dados, capaz de
responsabilizar os agentes de tratamento por essa conduta.
Obrigações e Boas Práticas

Observa-se que a adequação dos agentes de tratamento às medidas de
segurança e boas práticas é essencial para afastar a caracterização do uso
indevido dos dados.
Por isso, as medidas de segurança e boas práticas devem ser aplicadas e

revisadas periodicamente, dentre as quais, destacam-se:
1ª. Manter Registro das Operações de Tratamento
O controlador e o operador devem manter registro das operações de

tratamento de dados pessoais que realizarem, especialmente quando baseado
no legítimo interesse (artigo 37 da LGPD).
Na prática, esta obrigação demanda a realização de um mapeamento quanto

aos tratamentos realizados, com revisão e atualização constante, a fim de
apurar eventuais incidentes e implantar medidas corretivas.
2ª. Adotar Regras de Boas Práticas e de Governança

Conforme estabelece o artigo 50 da LGPD, os controladores e operadores, no
âmbito de suas competências, pelo tratamento de dados pessoais, poderão
formular regras de boas práticas e de governança que estabeleçam:
 As condições de organização;
 O regime de funcionamento;
 Os procedimentos, incluindo reclamações e petições de titulares;
 As normas de segurança;
 Os padrões técnicos;
 As obrigações específicas para os diversos envolvidos no tratamento;
 As ações educativas;
 Os mecanismos internos de supervisão e de mitigação de riscos e
outros aspectos relacionados ao tratamento de dados pessoais.
É recomendado também:
- Elaborar Política de Privacidade e Proteção de Dados Pessoais, que

estabeleça regras de aplicação interna e externa, detalhamento sobre as
operações de tratamento, ciclo de vida dos dados, critérios para acesso ao
banco de dados, armazenamento e conservação.
- Elaborar Política de Segurança da Informação, com critérios para atender às

solicitações dos titulares e corrigir incidentes.
- Criar um canal de comunicação para atendimento aos titulares;
- Estabelecer diretrizes para relação com empresas parceiras, terceirizadas e

fornecedores.
3ª. Adotar Medidas de Segurança e Sigilo
Os agentes de tratamento devem adotar medidas de segurança, técnicas e

administrativas aptas a proteger os dados pessoais de acessos não
autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração,
comunicação ou qualquer forma de tratamento inadequado ou ilícito (artigo 46
da LGPD).
Os agentes de tratamento ou qualquer outra pessoa que intervenha em uma

das fases do tratamento obriga-se a garantir a segurança da informação
prevista nesta Lei em relação aos dados pessoais, mesmo após o seu término
(artigo 47 da LGPD).
Os sistemas utilizados para o tratamento de dados pessoais devem ser

estruturados de forma a atender aos requisitos de segurança, aos padrões de
boas práticas e de governança e aos princípios gerais previstos na LGPD e às
demais normas regulamentares (artigo 49 da LGPD).
Na prática deve-se:
1. Nomear o Encarregado pela Proteção de Dados e divulgar suas

informações de contato;
2. Manter registro de todas as etapas de tratamento de dados, com
revisões periódicas dos acessos, e medidas de segurança adotadas;
3. Estabelecer regras de hierarquia e identificação para acesso aos
sistemas eletrônicos e banco de dados, para evitar o acesso indevido ou
o uso ilícito de dados pessoais;
4. Registrar os acessos aos bancos de dados pessoais, com a
identificação do usuário, arquivo acessado, data, motivo e duração do
acesso;
5. Utilizar técnicas de anonimização e pseudoanonimização de dados
pessoais, sempre que possível;
6. Realizar auditorias em proteção de dados, a fim de apurar incidentes,
revisar as medidas de segurança e boas práticas e implantar medidas
corretivas, quando necessário.
4ª. Elaborar o Relatório de Impacto à Proteção de Dados Pessoais (RIPD)
A LGPD prevê que a ANPD poderá determinar ao controlador que elabore

relatório de impacto à proteção de dados pessoais, inclusive de dados
sensíveis, referente a suas operações de tratamento de dados, nos termos de
regulamento, observados os segredos comercial e industrial.
O relatório deverá conter, no mínimo, a descrição dos tipos de dados coletados,

a metodologia utilizada para a coleta e para a garantia da segurança das
informações e a análise do controlador com relação a medidas, salvaguardas e
mecanismos de mitigação de risco adotados (artigo 38 e parágrafo único da
LGPD).
A LGPD, em seu artigo 42, determina que o controlador ou o operador que, em
razão das operações de tratamento de dados pessoais, causar dano
patrimonial, moral, individual ou coletivo, em violação à legislação de proteção
de dados, será obrigado a repará-lo.
Assim, o dever de reparação pelos agentes de tratamento depende dos

seguintes pressupostos:
1. Existência de dano:
- dano patrimonial é aquele que gera efeitos econômicos ou prejuízos

financeiros;
- dano moral é o que viola os direitos fundamentais, como da personalidade,
imagem, honra, liberdade, não sendo determinado patrimonialmente, sendo a
indenização arbitrada em ação judicial ou por acordo entre as partes, a partir da
gravidade da lesão e seus reflexos;
- dano individual é o que atinge apenas o titular dos dados e dano coletivo o
que afeta a sociedade ou parte dela.
2. Decorrente de uma operação de tratamento;
3. Em violação às normas de proteção de dados.
Adiante, serão analisadas as responsabilidades diante da LGPD.
Controlador
A LGPD determina que os agentes de tratamento devem adotar medidas de

segurança, técnicas e administrativas capazes de proteger os dados de
acessos não autorizados, de situações acidentais ou ilícitas de destruição,
perda, alteração, comunicação ou qualquer forma de tratamento inadequado,
ou ilícito (artigo 46 da Lei n° 13.709/2018).
Como consequência, estabelece que o controlador, que descumprir as regras

de proteção de dados, será responsável pelos danos que causar.
Em razão do poder de decisão do controlador nas operações de tratamento, a

sua responsabilidade estará presente quando houver violação e dano causado:
 pelo operador (artigo 42); e

 por outros controladores com quem tenha ocorrido compartilhamento
de dados (artigo 42 e inciso II do § 1° do mesmo dispositivo).
Por este motivo, é imprescindível que todos os cuidados, técnicos e

contratuais, sejam adotados na designação do operador e no
compartilhamento de dados.
Operador
Para o operador, a LGPD definiu sua responsabilidade:
- No artigo 42, estabelecendo que ao operador cabe a reparação pelos danos

que causar quando estiver realizando tratamento de dados em violação à
LGPD.
Nesta hipótese, é importante lembrar que o operador estará agindo em nome

do controlador, seguindo suas orientações, e ainda assim, em caso de dano e
descumprimento às normas de proteção de dados, também será responsável.
- No inciso I do § 1° do artigo 42 da LGPD, o qual também prevê a
responsabilidade solidária do operador quando este não tiver seguido as
instruções lícitas do controlador. Neste caso, será considerado como
controlador por equiparação.
Na prática, o operador responderá solidariamente pelos danos que der causa,

independentemente de ter ocorrido ou não o enquadramento como controlador
por equiparação, em razão da regra geral de reparação prevista no artigo 42 da
LGPD.
Neste momento, ainda inicial na aplicação da LGPD, não é possível afirmar que
a intenção do legislador foi afastar a responsabilidade do controlador quando
suas orientações não tiverem sido seguidas e houver a equiparação do
operador, principalmente porque, no inciso II do §1° do artigo 42 da LGPD, ficou
prevista a responsabilidade solidária dos controladores que estiverem
diretamente envolvidos no tratamento do qual decorreram danos ao titular dos
dados.
Isto porque é seu dever adotar condutas de boas práticas e garantir a

segurança do tratamento dos dados, tanto na contratação do operador quanto
nas operações que tiver delegado para este agente.
Responsabilidade Solidária
A responsabilidade solidária ocorre quando, para a mesma obrigação, houver

mais de um credor ou mais de um devedor, cada um com direitos ou
obrigações em relação à integralidade da dívida (artigo 264 do Código Civil),
aplicável quando estiver prevista em lei ou for decorrente da vontade das
partes (artigo 265 do Código Civil).
A responsabilidade solidária dos agentes de tratamento encontra-se

expressamente prevista no artigo 42 da LGPD, sendo desnecessária, portanto, a
produção de prova neste sentido pelo titular dos dados.
Diante da solidariedade, cada agente de tratamento estará obrigado ao

pagamento do total da reparação, em razão do descumprimento da LGPD, que
tenha gerado danos morais ou materiais ao titular dos dados pessoais.
Entretanto, o agente de tratamento que reparar o dano terá o direito de exigir

dos demais a parte de cada um, na medida da participação no evento danoso
(§ 4° do artigo 42 da LGPD e artigo 934 da Lei n° 10.406/2002).
Destaca-se que haverá solidariedade entre controlador e operador, e ainda

entre os controladores diretamente envolvidos no tratamento que causou o
dano.
Encarregado
A LGPD não relacionou o encarregado como agente de tratamento, como
também não estabeleceu quais seriam as responsabilidades decorrentes de
seus atos.
Diante da ausência de previsão, há posicionamento no sentido de que a

atuação do encarregado estaria restrita ao cumprimento das suas atribuições,
de modo que a responsabilidade administrativa, civil e criminal pelos danos
gerados em razão do uso indevido dos dados pessoais seria limitada ao
controlador e operador, principalmente porque a LGPD, em seu artigo 5º, inciso
VI, conferiu poder decisório quanto ao tratamento dos dados pessoais somente
ao controlador.
Por outro lado, há o entendimento de que o encarregado poderia responder

pessoalmente em razão de ação ou omissão intencional e, caso detenha poder
decisório, poderá também ser responsabilizado pelas ações realizadas com o
seu aval, especialmente quando se tratar de prestador de serviços. Neste caso,
será necessário observar o que foi ajustado em contrato, de modo que a sua
responsabilização terá como fundamento o artigo 927 do Código Civil.
Entretanto, o controlador opte pela indicação de um empregado como

encarregado, deve-se observar a regra do § 1º do artigo 462 da CLT, segundo a
qual o dano causado pelo empregado permitirá desconto salarial em duas
hipóteses:
- Quando esta possibilidade estiver prevista no contrato de trabalho e o

empregado tenha agido com imprudência, negligência ou imperícia; ou
- Quando o empregado tiver agido com intenção de produzir o dano.
Até o momento, trata-se apenas de entendimento, sendo necessário

acompanhar o posicionamento dos Tribunais e a regulamentação pela ANPD.
Responsabilidade Civil
O dever de reparação de um dano é denominado como responsabilidade civil, a
qual se subdivide, para fins de comprovação, em: subjetiva e objetiva.
A responsabilidade civil subjetiva, aplicada como regra pelo Código Civil,

estabelece que é preciso comprovar que o causador do dano agiu com dolo, ou
seja, com a intenção de causar o dano, ou com culpa, isto é, com negligência,
imprudência ou imperícia, descumprindo um dever legal, conforme artigo 186
do Código Civil.
Já pela responsabilidade objetiva, haverá a obrigação de reparar o dano,
independentemente de culpa, demonstrando-se apenas o dano e o nexo causal
entre esse e a conduta do agente. Ela é aplicada nos casos especificados em
lei, como, por exemplo, nas relações de consumo, ou ainda, quando a atividade
normalmente desenvolvida implicar, por sua natureza, risco aos direitos de
terceiros (parágrafo único do artigo 927 do Código Civil).
Diante disso, surge discussão doutrinária quanto à natureza da

responsabilidade civil decorrente da violação da Lei Geral de Proteção de
Dados (artigos 42 a 45 da LGPD), se de ordem subjetiva ou objetiva.
Para os que aplicam a responsabilidade objetiva, o tratamento de dados deve

ser entendido como uma atividade de risco, somado ao fato da norma não ter
exigido a comprovação da culpa dos agentes de tratamento para caracterizar o
dever de reparação.
Por outro lado, a responsabilidade subjetiva dos agentes de tratamento estaria

fundamentada no fato de que a LGPD não dispensou expressamente o
elemento culpa dos artigos que estabelecem a responsabilidade, como
normalmente ocorre na legislação.
Há forte tendência da doutrina em afirmar que a responsabilidade dos agentes

de tratamento de dados seria subjetiva, já que a LGPD, primeiro, incentiva a
adoção de boas práticas e segurança, e segundo, condiciona a
responsabilização à violação das regras de proteção, as quais são condutas
incompatíveis com a aplicação da responsabilidade objetiva, já que, para esta,
não seria necessário demonstrar qualquer descumprimento de um dever legal.
Destaca-se que esta classificação tem impacto direto ao titular dos dados, já
que, se demonstrado o estrito cumprimento das normas de proteção pelo
agente de tratamento, poderia ser afastado o dever de reparação, ainda que
tenha ocorrido o dano, caso prevaleça o entendimento da responsabilidade
subjetiva.
Diante da divergência, é necessário acompanhar as regulamentações da ANPD,

bem como o posicionamento dos Tribunais sobre o tema.
Exclusão da Responsabilidade
Não haverá dever de reparação pelos agentes de tratamento quando
comprovarem que (artigo 43 da LGPD):
1. A operação de tratamento não foi realizada
Será necessário demonstrar que não ocorreu o uso dos dados alegado pelo
titular.
2. Tratamento regular
Neste caso, os agentes de tratamento devem demonstrar que, embora tenham

usado o dado pessoal, observaram a LGPD.
Para os que defendem a responsabilidade subjetiva, este seria o seu

fundamento legal, uma vez que, cumpridas as normas de proteção, não haverá
dever de reparação, ainda que tenha ocorrido algum dano ao titular dos dados.
A LGPD, entretanto, estabelece que o tratamento dos dados será considerado

irregular, responsabilizando os agentes, quando estes deixarem de observar a
legislação ou ainda quando não fornecerem a segurança técnica e
administrativa que o titular deles pode esperar, considerando
(artigos 44 e 46 da LGPD):
- O modo pelo qual é realizado o tratamento dos dados;
- O resultado e os riscos que razoavelmente dele se esperam;
- As técnicas de tratamento de dados pessoais disponíveis à época em que foi r
ealizado.
Como identificar um Tratamento Irregular
Compreender a causa do incidente e o dano causado ao titular é essencial para

que sejam adotadas medidas corretivas eficientes.
Assim, além de realizar uma avaliação detalhada quanto à sua atividade de

tratamento de dados e as medidas de segurança empregadas, alguns
questionamentos podem ajudar o agente de tratamento, a identificar o
tratamento irregular e a extensão do danos, dentre eles:
- Qual o tipo de dado objeto do tratamento irregular?
- É possível identificar os titulares? Há dados de crianças e adolescentes?
- Qual a operação de tratamento (coleta, guarda, compartilhamento, eliminação,
produção, entre outras)?
- O incidente ocorreu por meio físico ou por comunicação via internet?
- Ocorreu o vazamento de dados? Qual o tipo e quantidade de dado vazado?
- Ocorreu o uso ilícito por terceiros?
- Foi realizado compartilhamento não autorizado pelo titular?
Esses questionamentos podem contribuir para a identificação da origem do
tratamento irregular e possibilitar a sua adequação a Lei. O RIPD (Relatório de
Impacto à Proteção de Dados Pessoais), se existente, também pode ser útil
para essa análise.
Além do mais, o próprio titular pode comunicar ao controlador que os seus

dados estão sendo usados de maneira irregular, cabendo inclusive notificação
pela ANPD em sede de fiscalização.
3. O dano é decorrente de culpa exclusiva do titular dos dados ou de terceiros
Nesta situação, o dano foi causado em razão de uma ação do próprio titular ou
por conduta de uma pessoa estranha ao tratamento dos dados.
Como exemplo de ato de terceiro, está a atuação de um hacker que invade o

banco de dados eletrônico do controlador e usa indevidamente os dados
pessoais dos seus clientes ou colaboradores, gerando danos aos titulares.
Nesta hipótese, será preciso avaliar se os agentes de tratamento adotaram

medidas de segurança, técnicas e administrativas, aptas a proteger os dados
pessoais de acessos não autorizados para que a responsabilidade seja
afastada em razão de ato de terceiro (artigo 46 da LGPD).
Quanto à culpa exclusiva do titular dos dados, a depender da situação, podem

surgir questionamentos em razão do dever de segurança que é imputado aos
agentes de tratamento, conforme determina o artigo 46 da LGPD.
Seria um exemplo a situação em que a conta de e-mail do titular é invadida,

porque sua senha era considerada fraca, viabilizando a descoberta. A partir
dessa situação, questiona-se:
- Caberia aos agentes de tratamento a responsabilidade de indicar ao titular

dos dados que a senha não é forte o suficiente para impedir acessos
indevidos?
- Os agentes de tratamento deveriam criar um padrão de segurança para as

senhas, de modo a aceitar apenas aquelas consideradas fortes?
Por outro lado, quando

o titular utiliza um computador público em uma Lan House e, ao acessar sua
conta de e-mail e redes sociais, salva nesta máquina seus dados de acesso,
conclui-se mais facilmente que o dano foi gerado por culpa exclusiva do titular,
que não teve o cuidado necessário ao usar um computador compartilhado.
Quando o titular dos dados for também um consumidor, devem ser observadas
as regras de responsabilidade civil previstas na Lei n° 8.078/90 (CDC – Código
de Defesa do Consumidor).
O CDC assegura a facilitação da defesa dos direitos do consumidor, inclusive

atribuindo ao fornecedor ou prestador do serviço o dever de provar que não
praticou o ato ilícito ou que não causou danos ao titular, nos casos previstos na
Lei.
Isto porque a legislação reconhece que o consumidor encontra maior

dificuldade em produzir uma prova a seu favor, ou ainda que está em
desvantagem contratual, já que não tem liberdade de negociação (inciso VIII do
artigo 6º do CDC).
Especialmente quanto ao dever de reparação pelos danos causados em uma
relação de consumo, aplica-se a responsabilidade objetiva fundamentada nos
artigos 12 e 14 do CDC, segundo a qual será necessário o titular do direito
demonstrar apenas o dano e o nexo causal com a conduta do agente,
independentemente de ter ocorrido ou não violação as normas da LGPD.
Em uma relação de consumo, normalmente é necessário o preenchimento de
cadastros, onde o consumidor informa seu nome completo, CPF, endereço, e-
mail, telefone, entre outros, ou seja, inúmeros dados pessoais são fornecidos
para possibilitar a aquisição de produtos ou serviços, o que torna o
cumprimento da LGPD obrigatória.
Por este motivo, o tratamento de dados pessoais de consumidores deve estar

fundamentado em bases legais que o autorize e identificados para finalidades
específicas.
Código de Defesa do Consumidor
O Código de Defesa do Consumidor - CDC (Lei nº 8.078/90) impôs limitações

quanto ao uso das informações de dados pessoais dos consumidores em
cadastros de empresas, estabelecendo que:
► O consumidor terá acesso às informações existentes em cadastros, fichas,

registros e dados pessoais e de consumo arquivados sobre ele, bem como
sobre as suas respectivas fontes (artigo 43 do CDC);
► Os cadastros e dados de consumidores devem ser objetivos, claros,
verdadeiros e em linguagem de fácil compreensão, não podendo conter
informações negativas referentes a período superior a cinco anos (§ 1° do
artigo 43 do CDC);
► A abertura de cadastro, ficha, registro e dados pessoais e de consumo

deverá ser comunicada por escrito ao consumidor, quando não solicitada por
ele (§ 2° do artigo 43 do CDC);
► O consumidor, sempre que encontrar inexatidão nos seus dados e

cadastros, poderá exigir sua imediata correção, devendo o arquivista, no prazo
de cinco dias úteis, comunicar a alteração aos eventuais destinatários das
informações incorretas (§ 3° do artigo 43 do CDC);
► Os bancos de dados e cadastros relativos a consumidores, os serviços de

proteção ao crédito e congêneres são considerados entidades de caráter
público (§ 4° do artigo 43 do CDC);
► Consumada a prescrição relativa à cobrança de débitos do consumidor, não

serão fornecidas, pelos respectivos Sistemas de Proteção ao Crédito, quaisquer
informações que possam impedir ou dificultar novo acesso ao crédito junto aos
fornecedores (§ 5° do artigo 43 do CDC);
► Todas as informações elencadas acima devem ser disponibilizadas em

formatos acessíveis, inclusive para a pessoa com deficiência, mediante
solicitação do consumidor (§ 6º do artigo 43 do CDC);
► Os órgãos públicos de defesa do consumidor manterão cadastros

atualizados de reclamações fundamentadas contra fornecedores de produtos e
serviços, devendo divulgá-lo pública e anualmente. A divulgação indicará se a
reclamação foi atendida ou não pelo fornecedor (artigo 44 do CDC);
► Os contratos que regulam as relações de consumo não obrigarão os

consumidores, se não lhes for dada a oportunidade de tomar conhecimento
prévio de seu conteúdo, ou se os respectivos instrumentos forem redigidos de
modo a dificultar a compreensão de seu sentido e alcance (artigo 46 do CDC).
Marketing Digital
Outro ponto de impacto causado pela Lei Geral de Proteção de Dados está
atrelado ao marketing digital, visto que, atualmente, se trata do principal meio
de coleta de dados pessoais.
Assim, as empresas do ramo de tecnologia de informação e de marketing,
quando coletam dados e formulários por meio de landing pages (página de
divulgação de um produto), devem instituir Política de Privacidade em
conformidade com a Lei Geral de Proteção de Dados.
Dessa forma, os potenciais clientes devem concordar com a Política de

Privacidade e com os termos e serviços ofertados, mediante consentimento
específico quanto ao uso dos seus dados pessoais.
O consentimento do titular deve ocorrer em qualquer canal de coleta de dados

que seja utilizado pela empresa, a exemplo de: páginas de divulgação de
produtos, formulários, assinaturas de boletins informativos.
Destaca-se que as ações de remarketing também são impactadas pela LGPD. O

remarketing, que em livre tradução significa “fazer marketing novamente”, trata-
se de uma ferramenta que possibilita que os anúncios do Google Adwords
apareçam mais do que uma vez para a mesma pessoa.
Portanto, para estar em conformidade com a Lei Geral de Proteção de Dados, é

necessário informar ao titular que os seus dados serão salvos e podem vir a ser
utilizados novamente, para anúncios de produtos ou serviços. Essa informação
deve aparecer na página inicial do site da empresa, trazendo o aviso a respeito
dos cookies e o pedido de consentimento do titular.
Dessa forma, já é possível notar que a LGPD vai proporcionar mais

confiabilidade às empresas, já que visa aumentar a segurança dos clientes que
com ela interagem e firmam relações de consumo.
Estratégias Promocionais
O contexto digital transformou as ações de marketing, proporcionando
estratégias promocionais em sites, plataformas digitais, aplicativos, que
direcionam o consumidor para participar de sorteios de prêmios e ganhar
descontos em produtos, só que, para isso, o usuário deve realizar o
preenchimento de um cadastro, no qual precisa informar alguns dados
pessoais, como nome, endereço, CPF, Identidade, telefone, e-mail, entre outros.
Portanto, coletar dados de potenciais clientes é, sem dúvida, uma grande
estratégia de marketing.
Entretanto, quem oferece benefícios como sorteios de prêmios ou cupons de

descontos, almejando à captação de clientes e o aumento de vendas, deve,
principalmente, preocupar-se com a guarda dessas informações pessoais, para
que não sejam usadas indevidamente.
Dessa forma, para que as ações promocionais possam continuar sendo
aplicadas de maneira lícita, a LGPD deverá ser implementada nas relações de
consumo, inclusive no que se refere as práticas de marketing.
Boas Práticas
Assim, diante das diretrizes impostas pela Lei Geral de Proteção de Dados, o
controlador deverá adotar condutas de conformidade com a Lei, dentre as
quais, destacam-se
- Mapear os dados que são coletados e tratados;

pessoais;
- Verificar as finalidades empregadas no uso dos dados pessoais de

consumidores;
- Capacitar funcionários quanto as medidas de segurança e boas práticas para

o tratamento de dados pessoais;
- Adequar os contratos com empresas parceiras ou terceirizadas, para que

contenham regras de proteção de dados pessoais;
- Observar as regras do Código de Defesa do Consumidor;
- Coletar o consentimento do titular, sempre que não houver outra base legal
que autorize o tratamento dos dados;
- Verificar se há previsão legal que autorize o uso dos dados pessoais, com a
dispensa do consentimento;
- Informar aos titulares dos dados, antes da coleta, quais as finalidades do

tratamento, por meio da política de privacidade, termos de uso ou outro
documento pertinente;
- Disponibilizar informações na página inicial do site da empresa, sobre o uso

dos cookies e o pedido de consentimento do titular;
- Informar ao titular que os seus dados serão salvos e podem vir a ser utilizados
novamente, para anúncios de produtos ou serviços (ações de remarketing);
- Divulgar informações claras e objetivas aos titulares dos dados;
- Fixar um prazo para a guarda dos dados ou observar o prazo legal, se houver;
- Elaborar a política de privacidade para cada plataforma ou ação promocional;
- Realizar o tratamento de dados pessoais de crianças e de adolescentes em

seu melhor interesse e com o consentimento específico e em destaque dado
por pelo menos um dos pais ou pelo responsável legal;
- Disponibilizar um canal de comunicação para que o titular dos dados obtenha

informações sobre os tratamentos realizados com os seus dados pessoais, e
exerça os seus direitos;
- Elaborar o Relatório de Impacto à proteção de dados pessoais;
- Revisar periodicamente as medidas de segurança, e adotar providências

corretivas caso necessário.
Criação
A Autoridade Nacional de Proteção de Dados (ANPD) é um órgão da
administração pública federal, com autonomia técnica e decisória, a quem
compete, principalmente, zelar, regulamentar e fiscalizar a proteção dos dados
pessoais em cumprimento à Lei n° 13.709/2018.
Desde 28.12.2018, encontram-se vigentes os dispositivos da LGPD que tratam

da criação, composição e competências deste órgão, em razão da Medida
Provisória n° 869/2018 convertida na Lei n° 13.853/2019.
A LGPD determina que cabe exclusivamente à ANPD a aplicação das sanções

previstas nesta norma, de modo que sua competência prevalecerá sobre outras
entidades ou órgãos da administração pública, no que se refere à proteção de
dados pessoais (artigo 55-K da LGPD).
Competências
A ANPD, no exercício da sua função de zelar pela proteção de dados, com a
preservação do segredo empresarial e do sigilo das informações, deve (artigo
55-J da LGPD):
Função Normativa -
Função Fiscalizatória Função Consultiva
Regulatória
Apreciar as petições de
titular dos dados (após
Elaborar regulamentos e
comprovação de Deliberar, na esfera
procedimentos sobre
reclamação não administrativa, sobre a
proteção de dados, a
solucionada pelo interpretação da Lei, as
partir de consulta pública
controlador). suas competências e os
e análise de impacto
Implementar mecanismos casos omissos
regulatório
simplificados para o
registro de reclamações
Editar procedimentos
simplificados para Micro Promover o conhecimento
e Pequenas Empresas, Fiscalizar e aplicar das normas e das políticas
Iniciativas empresariais sanções em caso de públicas sobre proteção de
de caráter incremental, violação à LGPD dados pessoais e das
startups ou empresas de medidas de segurança
inovação
Promover e elaborar
Dispor sobre publicidade
estudos sobre as
das operações de Celebrar compromissos
práticas nacionais e
tratamento, respeitados o com agentes de
internacionais de
segredo comercial e tratamento
proteção de dados
industrial
pessoais e privacidade
Estimular a adoção de Comunicar às
padrões para serviços e autoridades
produtos que facilitem o competentes as Ouvir os agentes de
controle pelos titulares, infrações penais das tratamento e a
considerando a atividade quais tiver sociedade em matérias
e porte dos responsáveis conhecimento de interesse relevante e
Implementar Garantir que o tratamento prestar contas sobre
mecanismos de dados de idosos seja suas atividades
simplificados para o efetuado de maneira
registro de reclamações simples, clara e acessível
Atribuições Vigentes
Para o cumprimento das normas de proteção, a atividade da Autoridade
Nacional foi tratada pela LGPD, em muitos casos, como indispensável. Isto
porque alguns procedimentos, no tratamento dos dados, dependem
diretamente da sua atuação, tanto na sua função fiscalizatória, quanto
regulatória.
Neste sentido, há hipóteses em que as atribuições da ANPD já se encontram,

não só vigentes, como plenamente eficazes, representando, já neste momento,
obrigações que devem ser observadas pelos agentes de tratamento, dentre as
quais, destacam-se:
Disposições Vigentes Base Legal
Emitir opinião técnicas quanto à não aplicação da LGPD nos

casos de segurança pública, defesa nacional, segurança do
§ 3° do artigo 4º
Estado ou atividades de investigação e repressão de infrações
penais
Solicitar Relatório de Impacto para os tratamentos de dados
§ 3° do artigo
capazes de gerar riscos aos direitos fundamentais dos titulares,
10 e artigo 38
especialmente quando fundamentados no legítimo interesse
Verificar a ocorrência de atos discriminatórios quando houver
§ 1° e § 2º do
tratamento automatizado de dados e a presença de segredo
artigo 20
comercial e industrial
Inciso V do
Autorizar transferência internacional de dados
artigo 33
Avaliar o nível de proteção de dados do país estrangeiro ou
organismo internacional e ainda revisar e anular, conforme o Artigos 34 e 35
caso, os atos dos organismos de certificação internacional
Definir o conteúdo de cláusulas-padrão contratuais, verificar as
cláusulas contratuais específicas, normas corporativas globais
ou selos, certificados e códigos de conduta, bem como ser Artigos 35 e 36
comunicada das alterações nas garantias apresentadas nos
casos de transferência internacional
Verificar a gravidade do incidente de segurança e determinar a § 2° do artigo
adoção de providências 48
Solicitar aos agentes de tratamento de dados a demonstração da Inciso II do § 2°
efetividade de seu programa de governança em privacidade do artigo 50
Regulamentações Pendentes
Por outro lado, há disposições que se encontram ainda pendentes de
regulamentação pela ANPD para produzirem efeitos, das quais, cabe
mencionar:
Disposições Pendentes Base Legal
Acesso a bases de dados pessoais relativos a estudos em saúde § 3° do artigo

pública 13
Padrões de interoperabilidade (capacidade de comunicação
entre sistemas) para fins de portabilidade (transferência) dos Inciso V do
dados a outro fornecedor de serviço ou produto, por solicitação artigo 18
do titular, observados os segredos comercial e industrial
Regulamentação dos prazos de resposta aos requerimentos do § 5° do artigo
titular 18
Prazos a serem observados por setores específicos para § 4° do artigo
confirmar a existência ou acesso a dados pessoais 19
Formas de publicidade das operações de tratamento realizadas § 1° do artigo
por agentes públicos 23
Designar organismos de certificação internacional, que § 3° do artigo
permanecerão sob sua fiscalização 35
Padrões de interoperabilidade (capacidade de comunicação
entre sistemas) para fins de livre acesso aos dados e segurança,
Artigo 40
tempo de guarda dos registros, principalmente em razão da
necessidade e transparência
Normas sobre o encarregado, inclusive sua dispensa, conforme
§ 3° do artigo
natureza e porte da entidade ou volume de operações de
41
tratamento realizadas
Padrões técnicos mínimos para as medidas de segurança aptas a § 1° do artigo
proteger os dados pessoais 46
Definição de prazo para que o controlador comunique à ANPD
§ 1° do artigo
acerca da ocorrência de incidente de segurança que possa
48
acarretar risco ou dano relevante aos titulares
Definição da metodologia para o cálculo do valor-base das
Artigo 53
multas
Adequação progressiva de bancos de dados constituídos até a
Artigo 63
entrada em vigor da LGPD
Fornecimento de cópia eletrônica integral dos dados solicitados
pelo titular em formato que permita sua utilização, quando o § 3° do artigo
tratamento estiver fundamentado em consentimento ou em 19
contrato, observados sempre o segredo comercial e industrial
Padrões e técnicas utilizados em processos de anonimização e § 3° do artigo
sua segurança 12
Incidente de Segurança
Considera-se incidente de segurança o evento confirmado ou ainda sob
suspeita, que implique em acessos não autorizados, em situações acidentais
ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de
tratamento inadequado ou ilícito (artigo 46 da LGPD).
A LGPD determina que cabe aos agentes de tratamento, e ainda a qualquer

outra pessoa que intervenha em uma das fases do tratamento, garantir a
segurança da informação em relação aos dados pessoais, mesmo após o seu
término (artigo 47 da LGPD).
Assim, havendo um incidente de segurança capaz de acarretar risco ou dano
relevante aos titulares, o controlador deverá comunicar o fato à ANPD e ao
titular (artigo 48 da LGPD) e elaborar um documento de avaliação do incidente,
das medidas adotadas e dos riscos envolvidos em cumprimento aos princípios
da transparência e da prestação de contas (artigo 6°, incisos VI e X, da LGPD).
Comunicação à ANPD
A comunicação, em caso de incidente de segurança, deve ser feita em prazo
razoável, conforme será definido pela ANPD.
Entretanto, ainda que pendente de regulamentação, segundo noticiado

no Portal Gov.br, a própria Autoridade Nacional trouxe as seguintes orientações
em relação à comunicação:
► Fundamento: deve ser realizada quando houver riscos ou danos relevantes
aos titulares, os quais possivelmente estarão presente quando, por exemplo,
houver dados sensíveis, de criança ou adolescente, potencial para causar
danos morais ou materiais, ou ainda a depender da intenção de terceiros que
tiveram acesso aos dados;
► Prazo: dois dias úteis, contados da data de conhecimento do incidente,
baseando-se no Decreto n° 9.936/2019;
► Forma: por meio de formulário disponível no site da ANPD e enviado por
meio de Peticionamento Eletrônico - Usuário Externo,
acessando: https://www.gov.br/secretariageral/pt-br/sei-peticionamento-
eletronico;
► Conteúdo:
- Identificação e dados de contato do responsável pelo tratamento e do

Encarregado;
- Indicação se a notificação é completa ou parcial. Neste último caso, indicar

que se trata de uma comunicação preliminar ou de uma comunicação
complementar;
- Informações sobre o incidente, apontando: data e hora da detecção, data e

hora do incidente e sua duração; circunstâncias em que ocorreu a violação;
descrição dos dados pessoais e informações afetadas, como natureza e
conteúdo dos dados pessoais, categoria e quantidade de dados e de titulares
afetados; indicação da localização física e meio de armazenamento;
- Possíveis consequências e efeitos negativos sobre os titulares dos dados

afetados;
- Medidas de segurança, técnicas e administrativas preventivas e resumo das

medidas implementadas até o momento para controlar os possíveis danos;
- Outras informações úteis.
A ANPD também poderá requerer informações adicionais a qualquer momento.
Determinações da ANPD
A partir da comunicação pelo controlador, a ANPD verificará a gravidade do

incidente e poderá, caso necessário para proteção dos direitos dos titulares,
determinar ao controlador a adoção de providências, tais como:
1.Ampla divulgação do fato em meios de comunicação; e
2. Medidas para reverter ou mitigar os efeitos do incidente.
Na avaliação da gravidade do incidente, a ANPD analisará as medidas técnicas

adotadas pelos agentes de tratamento, no âmbito e nos limites técnicos de
seus serviços, para tornar os dados incompreensíveis ou de difícil
compreensão por terceiros não autorizados (§ 3° do artigo 48 da LGPD).
Titular dos Dados

Havendo um incidente de segurança, será necessário comunicar ao titular dos
dados, quando houver danos relevantes ou até mesmo risco de dano (artigo 48
da LGPD).
Por outro lado, é possível que algumas medidas corretivas precisem ser
adotadas pelos agentes de tratamento em razão de requerimento dos titulares.
Isso porque a LGPD confere ao titular o direito de solicitar expressamente e a

qualquer momento aos agentes de tratamento as seguintes informações ou
medidas sobre seus dados (artigo 18 e § 3° da LGPD):
Medidas Corretivas Informações
Correção de dados incompletos, Confirmação da existência de

inexatos ou desatualizados (inciso III do tratamento e acesso aos dados (incisos
artigo 18) I e II do artigo 18)
Anonimização, bloqueio ou eliminação Portabilidade dos dados a outro
de dados desnecessários, excessivos ou fornecedor de serviços ou produto,
tratados em desconformidade com a observados os segredos comercial e
LGPD (inciso IV do artigo 18) industrial (inciso V do artigo 18)
Oposição ao uso dos dados, nos casos Informação das entidades públicas e
em que o consentimento foi dispensado privadas com as quais o controlador
e houver descumprimento da LGPD (§ realizou uso compartilhado de dados
2° do artigo 18 da LGPD) (inciso VII do artigo 18)
Eliminação dos dados pessoais tratados Informação sobre a possibilidade de
com o consentimento do titular, não fornecer consentimento e sobre as
ressalvados os casos de cumprimento de consequências da negativa (inciso VIII
do artigo 18) e ainda revogação do
consentimento, nos termos do § 5° do
artigo 8° desta Lei (inciso IX do artigo
18)
obrigação legal; estudo por órgão de Cópia eletrônica integral dos dados
pesquisa, garantida a anonimização; pessoais, observados os segredos
transferência a terceiro; e uso exclusivo comercial e industrial, quando o
do controlador desde que anonimizado o tratamento tiver como fundamento o
dado (inciso VI do artigo 18) consentimento ou um contrato,
disponibilizada em formato que
permita a sua utilização subsequente,
inclusive em outras operações de
tratamento (§3° do artigo 19 da
LGPD)
Resposta ao Titular
O requerimento do titular deverá ser atendido (§§ 4° e 5° do artigo 18 da LGPD):
- Sem custos;
- De imediato, como regra geral, já que caso o controlador não possa atender
imediatamente a solicitação, é seu dever:
- Comunicar que não é agente de tratamento dos dados e indicar, sempre que
possível, o agente; ou
- Indicar as razões que impedem a adoção imediata da providência;
- Importante: a ANPD poderá regulamentar os prazos e termos para

atendimento dos requerimentos dos titulares.
Entretanto, especificamente o requerimento de confirmação da existência ou de

acesso a dados pessoais deve ser providenciado (artigo 19 da LGPD):
- Imediatamente, em formato simplificado; ou
- Em até 15 dias, contados da data do requerimento do titular, por meio de

declaração clara e completa, indicando: origem dos dados, inexistência de
registro, critérios utilizados e a finalidade do tratamento, respeitando-se os
segredos comercial e industrial.
- Por meio eletrônico (seguro e idôneo) ou em documento impresso, a critério

do titular.
Procedimentos
Para atender aos requerimentos dos titulares, recomenda-se a adoção de

procedimentos neste sentido, dentre os quais, destacam-se:
- Possuir um canal especializado para recebimento das solicitações, onde
conste publicamente as informações de contato do encarregado;
- Criar um padrão para atendimento das solicitações dos titulares com registro,
conferência da identidade e resposta dentro do prazo legal. Havendo correção,
eliminação, anonimização ou bloqueio de dados, o controlador deverá,
imediatamente, comunicar aos agentes de tratamento com os quais tenha
compartilhado os dados para que apliquem o mesmo procedimento, exceto
nos casos em que esta comunicação seja comprovadamente impossível ou
implique esforço desproporcional (§ 6° do artigo 18 da LGPD).
- Fornecer informações claras e objetivas;
- Analisar as solicitações que não precisam ser atendidas, o amparo legal para
a negativa e dar ciência ao titular dos dados. Como exemplo, cita-se o
requerimento de eliminação dos dados, com os quais o controlador ainda deve
cumprir obrigações legais. O fundamento para não atendimento da solicitação
encontra-se no inciso II do artigo 7°, para o caso de dados pessoais, e alínea a
do inciso II do artigo 11 para dados pessoais sensíveis;
- Quando os dados forem de criança ou adolescente, as informações devem ser

fornecidas de maneira clara e acessível, de forma a proporcionar o adequado
entendimento.
Medidas Preventivas - Corretivas

As medidas listadas a seguir, se observadas corretamente, auxiliam na
prevenção de riscos ou, até mesmo, na correção de tratamento de dados
irregular:
Incidentes Cibernéticos Incidentes com Dados Físicos
Utilização de ferramentas de
segurança da informação, a exemplo Utilizar
de: antivírus, monitoramento de redes, crachás de identificação para empregado
controle de acessos a sites e aos s e visitantes
programas utilizados
Adotar
Identificação
critérios para acesso às áreas restritas
de logins de acesso ativos e inativos,
como lista de empregados autorizados e
excluindo-se contas inativas
registros de acesso
Registro das etapas de tratamento de d Utilizar
ados câmeras de vídeo em pontos estratégicos
Implantação Categorizar os dados e armazená-los em
de: assinatura, certificado digital e ambiente controlado, para evitar acesso
criptografia não autorizado
Utilização de backup dos dados
Instituição
de Políticas de Privacidade e de Confi
dencialidade e Termos de Uso
Treinamento aos empregados sobre a Realizar o descarte seguro dos dados
utilização segura dos programas e
sistemas da empresa e comunicação
via internet
Regimento Interno estabelecendo o
cumprimento das condutas de Boas
Práticas e não divulgação de
informações sobre dados pessoais Treinar colaboradores quanto às medidas
Contratar uma Apólice de Seguros adotadas
Cibernéticos, com o objetivo de
indenizar as despesas financeiras
causadas por vazamento de dados
decorrente de um incidente cibernético
Revisar periodicamente as medidas de segurança e readequá-las para que

alcancem maior efetividade.
Passo a Passo
Para auxiliar na adoção de práticas corretivas, é importante estabelecer uma
sequência a ser observada na sua
implantação. Assim, os pontos indicados abaixo merecem atenção:
1ª Passo: identificar o tratamento irregular, comunicar a ANPD e ao titular dos

dados;
2º Passo: atender a eventuais providências determinadas pela ANPD;
3º Passo: revisar suas regras de boas práticas e de governança, levando em
consideração o tipo do dado, a finalidade, a forma do tratamento e qual o
resultado pretendido;
4º Passo: verificar as condições da organização, as normas de segurança, os
padrões técnicos utilizados e os procedimentos adotados para o tratamento de
dados;
5º Passo: aplicar mecanismos de supervisão e minimização de riscos nas etap
as do tratamento de dados a partir do mapeamento de dados, apontando os
riscos existentes e as medidas necessárias para a sua eliminação ou controle.
Para os casos de requerimento do titular dos dados:
1° Passo: criar um canal de comunicação;

2º Passo: estabelecer um padrão para o seu atendimento dentro do prazo legal;
3º Passo: adotar medidas que facilitem o controle, pelos titulares, sobre o
tratamento que ocorre com os seus dados pessoais.

Origem e evolução da proteção de dados

Enviado por

Dados do documento

Descrição original:

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Origem e evolução da proteção de dados

Enviado por

Direitos autorais:

Formatos disponíveis

Origem da Proteção de Dados

Escândalos envolvendo a privacidade em redes sociais, com consequências

A imagem a seguir representa esse movimento:

O objetivo da Lei, através de seus princípios e regras, é proteger os direitos do

A importância e a necessidade de adequação à LGPD encontram as seguintes

► Exigência legal: assim como em vários países do mundo, o Brasil editou

► Exigência comercial: a tendência é a criação de um "isolamento" para

► Valor de mercado: o empreendedor que garante aos parceiros comerciais,

Por se tratarem de normas gerais, devem ser observadas, inclusive, pela

LGPD Base Legal

Titular dos Dados: a LGPD protege os dados de

Ela não se destina a proteger informações ou

Como exemplo, é possível citar a troca de dados entre

Há divergência, em âmbito trabalhista, acerca da

Para fins exclusivamente artísticos, jornalísticos

- compartilhamento com agentes de tratamento

- transferência internacional de dados com outro país

Nestas hipóteses, não haverá proteção de dados pela

Para melhor compreensão, cabe, como exemplo, a

Entretanto, como o dado vem de outro país com

Na LGPD, tem grande relevância os fundamentos da Privacidade e da

A partir dela, torna-se imprescindível, não apenas cumprir a lei, mas

Estes conceitos encontram-se previstos no artigo 5° da Lei n° 13.709/2018.

Considera-se dado pessoal o registro que identifica determinada pessoa, direta

Dados identificados: nome, CPF, RG, PIS/PASEP;

Dados identificáveis: profissão, especialidade, naturalidade, filiação.

Dado Pessoal Sensível

Exemplos: cor da pele/etnia, estado civil, orientação sexual, dados financeiros

Cabe ressaltar que alguns dados podem, em determinado momento, se

Exemplo: pessoa de olhos verdes. Quando todas as outras informações dessa

É o processo de exclusão do banco de dados de algumas informações de uma

Exemplo: pessoa de olhos verdes. Durante o processo de anonimização, todos

Por esse motivo, o dado pseudoanonimizado permanece protegido pela LGPD,

IV - bando de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em

É o conjunto de dados pessoais, organizado de maneira estruturada, em meio

Exemplo: banco de dados de empregados em formato eletrônico, com as

Exemplo: empregado, prestador de serviços autônomos, clientes pessoa física

Pessoa física ou jurídica, tanto da administração pública, quanto da iniciativa

São exemplos: empregador em relação aos dados dos empregados e o

Pessoa física ou jurídica, tanto da administração pública quanto da iniciativa

Exemplo: escritório de contabilidade quando recebe dados pessoais dos

É o responsável por intermediar o relacionamento entre o controlador, os

É também conhecido como DPO (Data Protection Officer) em razão do termo

IX - agentes de tratamento: o controlador e o operador;

São aqueles que realizam operações de tratamento nos dados pessoais. A

É considerada como tratamento toda atividade ou procedimento realizado em

Exemplo: coleta de CPF do consumidor para lançar na nota fiscal;

Representa um importante instrumento da LGPD, não apenas para autorizar o

O bloqueio ou a suspensão das atividades, que envolvem o manuseio de dados

A eliminação é a exclusão do dado de forma permanente do bando de dados

Transferência Internacional de Dados

É o fluxo de informações pessoais para controladores ou operadores

São considerados organismos internacionais as organizações não

Exemplo: empresas multinacionais ou empresas brasileiras com representação

Uso Compartilhado de Dados

XVI - uso compartilhado de dados: comunicação, difusão, transferência internacional, interconexão de

Ocorre quando, órgãos públicos, empresas privadas ou empreendedores

Nestes casos, é imprescindível a autorização ou o conhecimento específico do

Trata-se de um documento de responsabilidade do controlador, onde são

Destaca-se ainda que, em situações específicas, a elaboração deste

São órgãos ou entidades do governo, ou ainda empresa privada sem fins

ANPD (Autoridade Nacional de Proteção de Dados) é o órgão da administração