Cartilha

Descomplicando
a Lei Geral de
Proteção de
Dados Pessoais
Lei 13.709/2018

GABRIELA HARUMI MIASATO - ADVOGADA|

ESPECIALISTA EM DIREITO DIGITAL E
COMPLIANCE|MEMBRO DA ASSOCIAÇÃO
NACIONAL DE ADVOGADOS(AS) DO DIREITO
DIGITAL ANADD| MEMBRO DA ASSOCIAÇÃO
NACIONAL DOS PROFISSIONAIS DE
PRIVACIDADE DE DADOS
 Antes de iniciar a leitura é importante
que você entenda que esse documento
não é um manual.

Essa é uma cartilha informativa, com

objetivo de esclarecer dúvidas comuns
sobre a Lei Geral de Proteção de Dados
Pessoais.

Consulte um profissional da sua confiança sempre

que necessário
 INTRODUÇÃO
A Lei Geral de Proteção de
Dados Pessoais é inspirada
na General Data Protection
– GDPR da União Europeia.
Inclusive, a existência de
uma lei sobre o tema e a
adequação das empresas e
negócios à LGPD se
relaciona com a GDPR.
Uma das previsões da GDPR
é que os países integrantes
da União Europeia somente
podem realizar a vazamentos de dados ou de
transferência internacional
de dados com países que
possuam aparato razoável
para preservar a proteção e
privacidade de dados
pessoais.
Dados Pessoais na sociedade
da informação são
importante ativos dos mais
diversos modelos de negócio.
A adequação à LGPD é
relevante para as empresas
na medida em que agrega
valor a marca, demonstra
posicionamento de mercado
e inspira confiança e
credibilidade de seus
clientes, colaboradores e
parceiros/fornecedores.
Além de ser possível a
mitigação de riscos de
causar danos aos
colaboradores e clientes, e,
consequentemente reduzir os
custos de eventuais multas
ou procedimentos judiciais.
 QUEM DEVE SE ADEQUAR À LEI?

Qualquer pessoa física ou jurídica, de direito público ou

privado, que :

• realize a coleta ou o tratamento de dados no território

nacional;
• A operação de tratamento de dados vise a oferta ou
fornecimento de bens ou serviços a indivíduos
localizados no território nacional
Desse modo, ainda que você ou sua empresa colete ou
trate dados pessoais de estrangeiros é necessário a
observância da LGPD.

ATENÇÃO: Ainda que a coleta ou armazenamento

dos dados seja realizado em meio impresso, a LGPD
deve ser cumprida.
 DEFINIÇÕES
Dado Pessoal – informação relacionada a
pessoa natural identificada ou
identificável;
Dado Pessoal Sensível – dado pessoal
sobre origem racial ou étnica,
convicção religiosa, opinião política,
filiação a sindicato ou a organização
de caráter religioso, filosófico ou
político, dado referente à saúde ou à
vida sexual, dado genético ou
biométrico, quando vinculado a uma
pessoa natural e dados de crianças e
adolescentes;
Dado Anonimizado – dado relativo a titular
que não possa ser identificado,
considerando a utilização de meios
técnicos razoáveis e disponíveis na
ocasião de seu tratamento;
Titulares - pessoa natural a quem se
referem os dados pessoais que são
objeto de tratamento;
Detalhes Importantes:
• Dado anonimizado não é
considerado dado pessoal. Mas
atenção: os meios técnicos
empregados no procedimento de
anonimização precisam ser
razoavelmente rigorosos;
• Os agentes de tratamento devem
manter registro atualizado das
operações de tratamento
realizados.
Tratamento – toda operação realizada
com dados pessoais, como as que
se referem a coleta, produção,
recepção, classificação, utilização,
acesso, reprodução, transmissão,
distribuição, processamento,
arquivamento, armazenamento,
eliminação, avaliação ou controle
da informação, modificação,
comunicação, transferência, difusão
ou extração;
Controlador – pessoa natural ou jurídica,
de direito público ou privado, a
quem competem as decisões
referentes ao tratamento de dados
pessoais;
Operador – pessoa natural ou jurídica, de
direito público ou privado, que
realiza o tratamento de dados
pessoais em nome do controlador;
Agentes de Tratamento – o controlador e
o operador;
ANPD – órgão da administração pública
responsável por zelar, implementar e
fiscalizar o cumprimento desta Lei
em todo o território nacional.
 BASES LEGAIS DE TRATAMENTO
As bases legais de tratamento se
referem às hipóteses em que a
realização do tratamento de dados
pessoais é possível em conformidade
com a Lei Geral de Proteção de
Dados Pessoais.
Execução de Contratos – hipóteses
em que para o cumprimento ou
realização de procedimentos
preliminares do contrato do qual
o titular seja parte;

Processos Judiciais e Administrativos -

Consentimento – situação em que o se refere ao exercício regular de
titular dos dados consente o direitos em processos
tratamento de forma expressa, administrativos , judiciais ou
clara e inequívoca; arbitrais;

Obrigação Legal – quando a Proteção à Vida – situações que

necessidade do tratamento de visam a proteção da vida ou
dados decorre de determinação incolumidade física do titular ou
legal; de terceiros;

Políticas Públicas – aplicável a Tutela da Saúde – aplicável,

Administração Pública na exclusivamente, aos
execução de políticas públicas procedimentos realizados por
previstas em lei e regulamentos profissionais de saúde, serviços
ou respaldadas em contratos, de saúde ou autoridade sanitária;
convênios ou instrumentos
similares;
Legítimo Interesse – hipótese em que
há o legítimo interesse do
Pesquisa – realização de estudos por controlador ou de terceiros,
órgãos de pesquisa, garantindo, exceto no caso de prevalecerem
sempre que possível, a direitos e garantias fundamentais
anonimização dos dados do titular que exijam a proteção
pessoais; dos dados pessoais;

Proteção ao Crédito – situações em

que a proteção ao crédito seja
necessária.

ATENÇÃO: As bases legais de

tratamento de dados pessoais
sensíveis são outras. Para tratar
dados pessoais sensíveis é
necessário obter o consentimento
do titular dos dados, salvo algumas
exceções previstas na lei
 DIREITOS DO TITULAR
Art. 18 - O titular dos dados pessoais tem direito de obter do
controlador mediante requisição, a qualquer momento:
• confirmação da existência
de tratamento;
• acesso aos dados;
• correção de dados
incompletos, inexatos ou
desatualizados;
• anonimização, bloqueio
ou eliminação de dados
desnecessários, excessivos
ou tratados em
desconformidade com o
disposto nesta Lei;
• portabilidade dos dados a
outro fornecedor de
serviço ou produto,
mediante requisição
expressa, de acordo com
a regulamentação da
autoridade nacional,
observados os segredos
comercial e industrial;
• eliminação dos dados
pessoais tratados com o
consentimento do titular,
exceto nas hipóteses
previstas no art. 16 desta
Lei;
• Informação das entidades
públicas e privadas com as
quais o controlador
realizou uso compartilhado
de dados;
• informação sobre a
possibilidade de não
fornecer consentimento e
sobre as consequências da
negativa;
• revogação do
consentimento.
 Vigência a partir de
SANÇÕES 01/08/2021

• advertência, com indicação de prazo para adoção de medidas

corretivas;
• multa simples, de até 2% do faturamento da pessoa jurídica de
direito privado, grupo ou conglomerado no Brasil no seu último
exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00
por infração;
• multa diária, limitada ao total de R$ 50.000.000,00
• publicidade da infração após devidamente apurada e confirmada
a sua ocorrência;
• bloqueio dos dados pessoais a que se refere a infração até a sua
regularização;
• eliminação dos dados pessoais a que se refere a infração;
• suspensão parcial do funcionamento do banco de dados a que se
refere a infração pelo período máximo de 6 (seis) meses,
prorrogável por igual período, até a regularização da atividade de
tratamento pelo controlador;
• suspensão do exercício da atividade de tratamento dos dados
pessoais a que se refere a infração pelo período máximo de 6 (seis)
meses, prorrogável por igual período;
• proibição parcial ou total do exercício de atividades relacionadas
a tratamento de dados.

Perceba que, dependendo da atividade

exercida e da sanção aplicada, a atividade em
si poderá ser inviabilizada diante da suspensão
parcial do funcionamento do banco de dados
ou da proibição parcial ou total do exercício de
atividades relacionadas a tratamento de dados.
 SANÇÕES - OBSERVAÇÕES

Nos termos do artigo 65, inciso I-A da Lei Geral de Proteção de

Dados Pessoais, a vigência da Lei quanto a aplicabilidade das
sanções previstas pelos artigos 52, 53 e 52 será a partir do dia 1º de
agosto de 2021.
No entanto, é preciso entender que:
• As sanções previstas na LGPD se referem, tão somente, àquelas
aplicáveis pela Autoridade Nacional de Proteção de Dados;

• É possível a utilização de outras medidas a título de sanção pelo

Ministério Público e Procon.

Em janeiro de 2019, a Netshoes Eventual descumprimento dos

celebrou acordo através de
Termo de Ajustamento de
Conduta com o Ministério Público
do Distrito Federal devido ao
vazamento de dados de quase 2
milhões de usuários cadastrados
em sua plataforma.
termos do TAC resultaria na
propositura de ação cível pelos
danos morais e patrimoniais
causados nos respectivos valores
de R$10.000.000,00 (dez milhões
de reais) e R$85.000.000,00
(oitenta e cinco milhões de reais).

Entre outros termos acordados, foi Fonte: Ministério Público do Distrito

ajustado que a empresa deveria Federal.
pagar R$500.000,00 (quinhentos
mil reais) a título de indenização
por danos morais coletivos,
recolhidos ao Fundo de Defesa
de Direitos Difusos.
 DICAS DE ANÁLISE DOS DADOS NA
SUA EMPRESA

Não há uma fórmula

mágica ou um
framework aplicável a INVENTÁRIO
DOS DADOS
todos os segmentos e
tipos de negócio.

INVENTÁRIO DO
O planejamento para a PROCESSAMENTO
DE DADOS
adequação à Lei Geral
de Proteção de Dados
ANÁLISE DO
Pessoais irá variar FLUXO DE
conforme as DADOS E
MAPEAMENTO
necessidades , porte e DE RISCOS
as atividades
econômicas
desempenhadas por VERIFICAR
cada modelo de PARCEIROS

negócio.

REVISAR E
No entanto, é possível ELABORAR
NOVOS
apontar algumas DOCUMENTOS
etapas básicas para a
elaboração do plano
de adequação:
A elaboração de um plano de adequação à Lei
Geral de Proteção de Dados Pessoais é um esforço
conjunto. É ideal que você tenha uma equipe
multidisciplinar para que o plano contemple todas as
áreas da empresa.

Crie um questionário para as áreas responderem.

Dessa forma você terá um conhecimento mais
preciso e detalhado sobre a coleta e fluxo dos
dados pessoais em cada setor, sendo possível
identificar as necessidades individuais dos
departamentos.

Analise os resultados das informações fornecidas

através do questionário. Verifique quais dados
pessoais são relevantes para a sua atividade e quais
setores necessitam ter acesso aos dados.

Classifique os dados em pessoais e pessoais

sensíveis, e identifique as hipóteses legais de
tratamento.

Identifique os riscos presentes no fluxo de dados e

quais mecanismos e soluções devem ser adotadas
para eliminá-los ou mitigá-los, e claro, defina as
ações que deve ser seguidas no caso da
ocorrência de algum incidente.
 IMPLEMENTAÇÃO DO PLANO DE
ADEQUAÇÃO À LGPD - PERSPECTIVA
CORPORATIVA
Para a implementação bem
sucedida de um programa de
adequação à Lei Geral de
Proteção de Dados é
necessário, tal qual em
qualquer programa de
compliance, a adoção do
“Tone from the Top”.
É importante que todos os
colaboradores da empresa,
independentemente do cargo
que ocupa percebam a
adoção de nova postura dos
ocupantes de cargos mais
elevados como CEOs,
Diretores, por exemplo.
Bem como, é de extrema
relevância que todos os
funcionários compreendam
que também são peças-
chave na implementação e
execução do programa de
adequação à LGPD.
O sucesso na adequação à
Lei depende da empresa
como um todo, não sendo o
suficiente que apenas um ou
outro setor esteja em
conformidade com a LGPD.
Desse modo, é importante:
• a apresentação de um
novo código de conduta
no que tange ao
tratamento de dados
pessoais com especial
atenção aos dados
pessoais sensíveis ou,
reforçar o já existente ;
• a realização contínua de
treinamentos dos
colaboradores;
• realizar análises periódicas
da execução das políticas
de proteção e privacidade
de dados pelos setores da
empresa e de seus
parceiros;
• criação de um programa
de compliance digital e
due diligence de terceiros;
• criar modelo de resposta e
ação para atender a
eventuais notificações da
ANPD;
 IMPLEMENTAÇÃO - PRIVACY BY DESIGN
E PRIVACY BY DEFAULT
Privacy by design se refere a inclusão da perspectiva da
privacidade na arquitetura do negócio, ou seja, a atividade
econômica que coleta dados pessoais deve ser concebida sob o
pilar da privacidade.

Ao passo que, privacy by default é um desdobramento da privacy

by design, orientando a concepção e desenvolvimento da atividade
é, por padrão, pautada na privacidade.

Um dos meios de comprovar, caso seja necessário, a aplicação da

privacy by design e privacy by default é através da elaboração do
Relatório de Impacto à Proteção de Dados, que é um documento
que contém informações acerca dos dados coletados, modos de
tratamento, protocolos de segurança adotados, quais os riscos às
liberdades individuais dos titulares dos dados e quais são as
medidas e mecanismos adotados para a mitigação de riscos ou na
hipótese de eventual violação ou ocorrência de incidente de
segurança.

É importante que o Relatório de Impacto à Proteção de Dados seja

revisado e atualizado periodicamente.

Também é altamente relevante a manutenção atualizada dos registros do

processamento dos dados pessoais, eis que, eventualmente poderão ser
requisitados pela ANPD ou ser utilizados como meio de demonstração de
conformidade com a Lei Geral de Proteção de Dados.
 DICAS FINAIS

Entenda e faça o
mapeamento dos
dados são coletados e
qual a sua relação
com a finalidade com
a atividade
desempenhada

Conheça o fluxo dos

Mantenha controles
dados pessoais, quais
periódicos e testes de
setores, pessoas e
vulnerabilidades de
parceiros tem acesso
violação da sua rede
ao seu banco de
ou banco de dados
dados

Mantenha os registros Engaje os seus

dos processamentos de
dados pessoais e o
relatório de impacto à
proteção dos dados
pessoais atualizado
funcionários,
colaboradores e
parceiros na adequação
à Lei Geral de Proteção
de Dados Pessoais
Conteúdo licenciado em creative commons para finalidades não
comerciais.

É livre a utilização, cópia e reedição desde que citada a fonte e

compartilhado sob os mesmos termos desta licença.

Cartilha Descomplicando a Lei Geral de Proteção de Dados Pessoais Lei Geral de Proteção de Dados Pessoais - Lei
13.709/2018 by Gabriela Harumi Miasato is licensed under CC BY-NC-SA 4.0. To view a copy of this license, visit
https://creativecommons.org/licenses/by-nc-sa/4.0

Attribution-NonCommercial-ShareAlike 4.0 International

https://www.linkedin.com/in/harumi-miasato/
https://medium.com/harumi-miasato
https://www.instagram.com/miasato.haru/
harumiasato@hotmail.com