3 DICAS PARA ADVOGAR NA

PROTEÇÃO DE DADOS
Profa. Gabriela Glitz
 Sobre a autora
A professora Gabriela Glitz é sócia do Escritório Cabanellos Advo-
cacia e da Dogma, responsável pela área de contencioso corporati-
vo e direito digital. Especialista em proteção de dados e privacida-
de pelo Insper. Mestranda em Direito na área de Proteção de Dados
Pessoais pela Pontifícia Universidade Católica do Rio Grande do Sul
(PUCRS) com bolsa CAPES. MBA em Gestão Empresarial pela FGV.
Pós-graduada em Ciências Penais pela Pontifícia Universidade Ca-
tólica do Rio Grande do Sul. Julgadora da 5ª Turma do Tribunal de
Ética e Disciplina da OAB. Mentora do Escritório de Carreiras da
PUCRS. Membro do Grupo de Trabalho Regulamentação em Prote-
ção de Dados da AB2L e da Federasul. Mentora do WLM Brasil e
Membro do elas_inTech.
 Sumário
5 conceitos essenciais da LGPD 01

Quem é quem na LGPD 04

3 dicas para advogar na proteção de dados 07

Dica 1 - Ter um parceiro na área de TI
Dica 2 - Utilizar sistemas gratuitos que façam o diagnóstico
Dica 3 - Metodologia de trabalho
5 CONCEITOS
ESSENCIAIS
DA LGPD
 5 conceitos essenciais da LGPD

Ao iniciarmos o estudo a respeito da Lei Geral de Proteção de Dados, a famosa LGPD, precisamos
compreender 5 conceitos essenciais. Através deles iniciamos o nosso mergulho no mundo da proteção
de dados e vamos com eles compreendendo este importante ecossistema.

O primeiro deles é a o conceito de dado pessoal. Toda a LGPD tem por objetivo a proteção dos
dados pessoais, mas na verdade o que são dados pessoais? Dado pessoal é toda informação
identificada ou identificável relacionada a uma pessoa física. A nossa legislação adotou o conceito
expansionista de dado pessoal, que está relacionado a informação identificável. Assim, pode-se
considerar dado pessoal desde o nome, CPF, RG, endereço, como até mesmo uma geolocalização ou IP
de computador, informações estas que a priori não são
identificadas a uma pessoa natural, porém com alguns
cruzamentos de informações conseguimos
identificar o dono delas.

Outro conceito essencial para a

compreensão da LGPD é o de dado
sensível. Dados sensíveis são todos
aqueles dados pessoais que dizem
respeito à origem racial ou étnica,
convicção religiosa, opinião política,
filiação a sindicato ou a organização de
caráter religioso, filosófico ou político,
dado referente à saúde ou à vida sexual,
dado genético ou biométrico, quando
vinculado a uma pessoa natural (art. 5º, II da
LGPD).

A grande importância dos dados sensíveis está

justamente pelo fato que eles podem gerar algum tipo
de discriminação quando do seu tratamento, podendo acarretar
riscos e vulnerabilidades mais gravosos aos direitos e liberdades fundamentais. Justamente por isso
necessitam de maior proteção e cuidado por parte dos controladores e operadores de dados.

02
3 dicas para advogar na proteção de dados | Profa. Gabriela Glitz
 5 conceitos essenciais da LGPD

Além dos conceitos de dados pessoais e dados sensíveis o conceito de tratamento de dados é
fundamental para a boa compreensão da legislação. Assim, pode-se entender tratamento como toda
operação realizada com dados pessoais e aqui o conceito é amplo mesmo e está previsto no artigo 5º,
X da LGPD. Armazenar, coletar, utilizar, acessar, reproduzir, transmitir, distribuir, processar são exemplos
de tratamento de dados.

Desta forma, toda e qualquer operação que envolva dados pessoais deve ser entendida como
tratamento de dados.

Dentre os conceitos essenciais não se poderia deixar de mencionar a ANPD, a Autoridade

Nacional de Proteção de Dados, que é o órgão da administração
pública responsável por zelar, implementar e fiscalizar o
cumprimento desta lei. Neste ecossistema de proteção
de dados a ANPD é considerada a "última palavra"
sobre o tema, sendo responsável por suprir
lacunas da legislação e também por aplicar a
política pública de proteção de dados no
Brasil.

Por fim, e não menos importante, não

podemos deixar de mencionar a quem a
LGPD se destina: o titular de dados. O
ponto central de toda a legislação é a
pessoa natural a quem se referem os dados
pessoais que são objeto do tratamento (art.
5º, V da LGPD).

03
3 dicas para advogar na proteção de dados | Profa. Gabriela Glitz
QUEM É QUEM
NA LGPD
 Quem é quem na LGPD

A LGPD trouxe importantes conceitos para o ecossistema da proteção de dados dentre eles três
relevantes personagens para a legislação: o controlador, o operador e o encarregado. Todos
possuem suas definições no artigo 5º da Lei 13.709/2018 e possuem destaque quando realizamos um
processo de implementação da LGPD, pois torna-se de suma importância saber o papel de cada um no
tratamento de dados, já que através desta identificação, responsabilidades também são alocadas.

Ao controlador, pessoa natural ou jurídica, de direito público ou privado,

competem as decisões sobre o tratamento de dados pessoais, ou seja, ele que
tem o poder de definir como o tratamento será feito, de que forma e de que jeito.
Em virtude disso, é o responsável pelo enquadramento das bases legais, deve
indicar o encarregado, possui o ônus de provar o consentimento do titular e
também será sancionado administrativamente em razão de infrações cometidas.

Já o operador, por sua vez, é quem realiza o tratamento de dados em nome

do controlador. Salienta-se que o operador pode ser tanto pessoa natural quanto
jurídica, porém não possui autonomia sobre a tomada de decisão no tratamento
de dados. O operador também deve manter registro das operações de
tratamento que realiza, na mesma linha do controlador. Além disso, é
responsabilizado civilmente em razão do exercício da sua atividade de
tratamento de dados pessoais, caso haja violação à LGPD.

Estes dois agentes de tratamento, controlador e operador, possuem uma íntima ligação, pois
respondem solidariamente pelos danos causados pelo tratamento de dados. No caso, o operador será
responsabilizado quando descumprir as obrigações da legislação de proteção de dados ou quando
não tiver seguido as instruções lícitas do controlador, hipótese em que será igualado ao controlador.

Diante desta íntima relação entre controlador e operador é indispensável que haja um contrato
bem claro entre eles, limitando as responsabilidades de cada um para evitar qualquer problema futuro
no andamento das atividades. Exemplos de operadores seriam empresas de armazenamento em
nuvem e empresas que o controlador compartilha os dados para a realização do tratamento de dados
pessoais.

05
3 dicas para advogar na proteção de dados | Profa. Gabriela Glitz
 Quem é quem na LGPD

Por fim, não podemos deixar de falar sobre o encarregado, o DPO (Data
protection Officer). Segundo o artigo 5º, VIII da LGPD, ele é a pessoa indicada
pelo controlador para atuar como canal de comunicação entre o controlador,
titulares de dados e ANPD. De acordo com a LGPD o DPO pode ser tanto uma
pessoa física quanto uma pessoa jurídica, abrindo a possibilidade de que os
advogados prestem o serviço de DPO de forma terceirizada, ou seja, mais uma
grande oportunidade para nós!

Hoje a legislação não diferencia quem deve e quem não deve ter uma DPO, sendo exigida este
indicação de toda e qualquer empresa, independentemente de seu tamanho, porém espera-se que a
Autoridade Nacional de Proteção de Dados venha para esclarecer esta situação e colocar um ponto de
corte. O fato é que toda empresa que realize um tratamento de dados significativo terá a necessidade
de ter um DPO e com isso muitas oportunidades se abrem.

O que se imagina é que as empresas de médio e pequeno porte busquem o serviço de DPO
terceirizado, enquanto que as empresas de grande porte tenham um funcionário destinado para esta
atividade. Isso acontece justamente pelas atribuições do DPO e pelo grau de exigência que ele terá em
grandes corporações, sendo praticamente impossível a sua terceirização.

06
3 dicas para advogar na proteção de dados | Profa. Gabriela Glitz
 3 DICAS PARA
ADVOGAR NA
PROTEÇÃO DE
DADOS
 3 dicas para advogar na proteção de dados

A área de proteção de dados pessoais vem crescendo de forma exponencial no mercado jurídico.
A Lei Geral de Proteção de Dados chega com o objetivo de reforçar ainda mais este cenário, dando força
ao ecossistema e sinalizando sobre a importância do tema.

Muito embora a temática da proteção de dados já seja abordada de forma ampla em nosso
ordenamento, CF, CDC, CC, Marco Civil da Internet entre outras leis, a LGPD vem com o objetivo de
nivelamento da proteção de dados pessoais, reforçando que este direito traz
impactos on-lines e off-lines.

Advogar na área de proteção de dados pessoais é

mais do que um nicho do momento, mas uma
oportunidade que veio para ficar. Os dados
pessoais são o novo petróleo da economia e
ganham cada vez mais força no cenário
econômico, por sua capacidade expressiva de
monetização.

Considerando este cenário, quem

estiver preparado para assumir este espaço
no mercado jurídico certamente sairá na
frente e terá melhores resultados que os
colegas que não visualizaram esta
oportunidade.

Partindo-se desta premissa, a qualificação é

essencial para todo e qualquer advogado que
pretende atuar neste nicho, mas além disso, que é
fundamental, preparamos três importantes dicas para
quem quer trabalhar na área de proteção de dados pessoais a
partir de agora. Conheça elas a seguir.

08
3 dicas para advogar na proteção de dados | Profa. Gabriela Glitz
 3 dicas para advogar na proteção de dados

Dica 1 - Ter um parceiro na área de TI

O projeto de implementação da LGPD dentro de uma empresa envolve desde aspectos
jurídicos, como aspectos técnicos e procedimentais. Muito mais que uma revisão de
instrumentos jurídicos é necessário que haja um repensar sobre a proteção de dados dentro da
empresa, uma mudança de cultura e também ajustes técnicos imprescindíveis. Para que haja
uma implementação adequada, é necessária a interação entre a área jurídica e a área de TI e
muitas vezes para que estes ajustes sejam feitos da forma devida é necessária uma atuação mais
efetiva de um profissional da área de TI com conhecimento sobre proteção de dados.

Aqui ressalta-se que não basta ter um parceiro da área de TI, mas sim uma pessoa que
conheça de fato o tema de proteção de dados e que consiga sugerir e implementar esta temática
dentro da empresa. A ideia principal desta dica é apresentar uma proposta completa de
implementação e com isso tornar-se mais atrativo aos olhos do cliente, resolvendo o problema
proteção de dados de ponta a ponta.

09
3 dicas para advogar na proteção de dados | Profa. Gabriela Glitz
 3 dicas para advogar na proteção de dados

Dica 2 - Utilizar sistemas gratuitos que façam o

diagnóstico
O diagnóstico da empresa pode ser feito de várias formas, como através de questionários,
entrevistas e ferramentas tecnológicas.

Os questionários são limitados e acabam não sendo amplos o suficiente para a avaliação; as
entrevistas são demoradas e muitas vezes não nos levam a lugar nenhum, fora que atrasam o
processo como um todo; e as ferramentas tecnológicas? As ferramentas tecnológicas podem ser
grandes aliados neste processo!

O grande motivo é que elas conseguem fazer, de forma ágil, um diagnóstico da empresa.
Nada mais é do que a confirmação de que se tem o problema, através de um resultado, de um
material que explique isso. As empresas de forma geral sabem que não estão preparadas para
encarar os desafios da LGPD e ferramenta, ao fazer o diagnóstico da empresa, confirma isso
através da conclusão do diagnóstico. Este material via de regra explica o passo a passo do que
deve ser feito, elegendo prioridades e pontos de atenção. Além disso, materializa esta situação
para o cliente e fica mais fácil a venda do serviço, já que evidenciado o problema através da
documentação.

10
3 dicas para advogar na proteção de dados | Profa. Gabriela Glitz
 3 dicas para advogar na proteção de dados

Dica 3 - Metodologia de trabalho

A metodologia de trabalho é peça chave para um processo de implementação bem
sucedido. Hoje a implementação é feita passo a passo, através de etapas que vão desde o
diagnóstico, passam pelo data mapping, gap analysis e acabam com a entrega do programa de
implementação. As etapas são fundamentais para o cronograma e para o controle de entregas
do projeto, já que marcam etapas importantes. A partir do momento que estas etapas são bem
estabelecidas, claras e acompanhadas pelo responsável pelo projeto, cria-se uma metodologia
de trabalho que pode, e deve, ser replicada para os demais clientes atendidos.

Obviamente que o tamanho do projeto, assim como o tipo de cliente (B2B ou B2C) afetam
nas horas de trabalho alocadas e também no valor a ser cobrado, mas a bem da verdade a
metodologia é replicável e será utilizada por todos eles. Portanto, invista em criar um formato de
atuação capaz de abranger todos os escopos do projeto e também indicar um passo a passo a ser
seguido, o que é essencial para a criação de uma metodologia.

11
3 dicas para advogar na proteção de dados | Profa. Gabriela Glitz