Escolar Documentos
Profissional Documentos
Cultura Documentos
Introdução 1
Objetivos 2
1 | Definição e fundamentos da LGPD 3
Short bio 3
Definição e objetivos da LGPD 4
Atividade 5
As hipóteses de incidência da LGPD nos termos do art. 3º 5
Atividade 7
Hipóteses sobre as quais não incide a Lei Geral de Proteção de Dados 7
Atividade 9
Fundamentos da Lei Geral de Proteção de Dados 9
Atividade 11
Fundamentos da Lei Geral de Proteção de Dados 11
Atividade 12
Fundamentos da Lei Geral de Proteção de Dados 13
Atividade 14
2 | Proteção de Dados Pessoais como direito fundamental 15
Conceito de privacidade e evolução do tema 15
Atividade 16
Proteção de dados pessoais, evolução da legislação europeia 17
Atividade 18
Legislação europeia de proteção de dados pessoais 18
Atividade 20
Considerações sobre o GDPR no Brasil 20
Atividade 22
O STF e a proteção de dados pessoais como direito fundamental 22
Atividade 24
Emenda constitucional e respectivas consequências 24
Atividade 25
3 | Conceitos básicos e princípios 26
Conceitos básicos: dados pessoais 26
Atividade 28
Conceitos básicos: agentes de tratamento, controlador, operador e controladoria 29
Atividade 30
Conceitos básicos: encarregado, ANPD e CNPD 31
Atividade 33
Conceitos básicos: anonimização, pseudonimização e incidentes envolvendo dados pessoais 33
Atividade 36
Princípios da LGPD 36
Atividade 38
Conceitos básicos - Princípios 38
Atividade 40
4 | Bases Legais 41
Bases legais previstas na LGPD, no GDPR e no debate sobre hierarquia 41
Atividade 43
Consentimento e cumprimento de obrigação legal 44
Atividade 47
Execução do contrato e exercício regular do direito 48
Atividade 50
Legítimo interesse e proteção do crédito 51
Atividade 53
Proteção da vida e tutela da saúde 54
Atividade 56
Execução de políticas públicas 57
Atividade 59
5 | Cultura de privacidade e proteção de dados 60
Revolução 4.0 60
Atividade 62
O papel da ANPD 62
Atividade 65
Acordos de cooperação técnica 66
Atividade 69
Fases iniciais do programa de adequação à LGPD 69
Atividade 71
Vantagens e desafios do programa de adequação 71
Atividade 73
Treinamento de resposta a incidentes 74
Atividade 75
6 | Documentos regulatórios, políticas e boas práticas 76
Mapeamento de dados pessoais e o ROPA 76
Atividade 78
Política de privacidade, termos e condições de uso 79
Atividade 81
Política de retenção, descarte e cronograma específico 81
Atividade 83
Política de segurança da informação e de resposta a incidentes 83
Atividade 86
Relatório de impacto à proteção de dados pessoais 86
Atividade 89
Boas práticas em proteção de dados pessoais 89
Atividade 92
7 | Direitos dos titulares 92
Direitos dos titulares previstos na LGPD e no GDPR 92
Atividade 94
Direito de confirmação da existência de tratamento 94
Atividade 96
Direito anonimização,portabilidade e eliminação de dados pessoais 96
Atividade 98
Direito a informações sobre compartilhamento 99
Atividade 100
Direito de oposição 101
Atividade 102
Guidelines sobre os direitos dos titulares e Fluxo de Petição na ANPD 102
Atividade 105
8 | O papel do encarregado pelo tratamento de dados pessoais 106
Previsão legal e conceito de encarregado 106
Atividade 107
Atribuições do encarregado 108
Atividade 109
Perfil e certificação do encarregado 110
Atividade 111
Hard skills e soft skills do encarregado 111
Atividade 113
Encarregado e conflitos de interesse 113
Atividade 114
Encarregado e agentes de tratamento de pequeno porte 115
Atividade 116
9 | Importância da adequação: responsabilização judicial, sanções administrativas, danos
reputacionais e due diligence 117
Responsabilidade civil dos agentes 117
Atividade 118
Responsabilização judicial 119
Atividade 123
ANPD e processo administrativo sancionador 124
Atividade 126
Sanções administrativas previstas na LGPD 127
Atividade 129
Parâmetros para aplicação das sanções e casos concretos 129
Atividade 132
Danos reputacionais e due diligence 132
Atividade 134
10 | Considerações sobre atividades de marketing diante da LGPD e do MCI: legítimo
interesse e direito de oposição 135
Bases legais para o tratamento de dados pessoais - MCI vs. LGPD 135
Atividade 137
Dados pessoais e atividades de marketing 137
Atividade 139
Bases legais no tratamento de dados em marketing 139
Atividade 142
Consentimento vs Legítimo interesse em marketing 143
Atividade 146
Marketing direito sob o âmbito de aplicação do GDPR, PECR e DPA no Reino Unido 147
Atividade 148
Direito de Oposição e análise comparativa entre a LGPD e o GDPR 149
Atividade 151
11 | Propriedade intelectual e contratos relacionados 152
Introdução à propriedade intelectual 152
Atividade 154
Amplitude do tema da propriedade intelectual 154
Atividade 156
Contrato de licença de uso, de comercialização e transferência de tecnologia 156
Atividade 158
Contratos de transferência de tecnologias e know-how 158
Atividade 160
Contrato de licença para exploração de patente 160
Atividade 161
Contratos de licença de uso de marca 162
Atividade 163
12 | Direito e Web 3.0: NFT, DAO, smart contracts, criptoativos e blockchain 164
Blockchain 164
Atividade 167
Smart contracts 167
Atividade 169
Criptoativos – conceito e aspectos regulatórios 170
Atividade 172
Organização Autônoma Descentralizada 173
Atividade 174
Definições relacionadas a NFT 175
Atividade 176
NFT e questões práticas 176
Atividade 178
LGPD e Gestão de
Riscos
Pag. 1
Adequação à Lei Geral de Proteção de Dados
Cultura de Privacidade Documentos Direitos dos Titulares O papel do encarregado
e Proteção de Dados regulatórios, Entender quais os dados pessoais de pelo tratamento de
Identificar as vantagens e os políticas e terceiros manter e quais não, dados pessoais
desafios impostos pelo programa de boas práticas identificar os direitos Quem é o responsável no tratamento
adequação à LGPD e conhecer os Entender a importância dos normatizados pela LGPD no de dados pessoais? E quais são os
acordos de cooperação e guias da mecanismos, ferramentas e técnicas tratamento de dados pessoais. São possíveis conflitos de interesses
ANPD permitirá às empresas disponíveis, que têm por objetivo soluções simples que você deve dessa função? Essa e outras
brasileiras a tratar com os riscos aumentar a confiança do usuário com conhecer e aplicar em seu questões são levantadas a todo
e os desafios impostos pela LGPD. possibilidades de gerar ganhos empreendimento. momento e iremos responder a essa e
reputacionais, serão alguns pontos outras questões relevantes sobre o
abordados. encarregado pelo tratamento de
dados pessoais.
Pag. 2
Aspectos iniciais da LGPD
Short bio
Pag. 3
Definição e objetivos da LGPD
Pag. 4
ações judiciais e canais como Reclame Aqui, Consumidor.gov e semelhantes, desde
setembro de 2020.
Falta pouco para atingir seus objetivos. Vamos praticar alguns conceitos?
A União detém competência para estabelecer normas gerais, que serão aplicáveis
até que sobrevenha norma específica de cada ente federado.
Pag. 5
Trata-se da hipótese mais intuitiva. Segundo o art. 3º, I da LGPD, os dispositivos
legais se aplicarão toda vez que o tratamento de dados pessoais ocorrer em território
nacional.
O principal ponto considerado é o espaço físico.
Exemplos concretos:
• Instituição financeira que coleta dados pessoais de titulares para avaliar a
viabilidade de concessão de crédito;
• Padaria de bairro que coleta dados do consumidor para expedir nota fiscal;
• Advogado liberal que trata dados de clientes para a elaboração de defesa em
processo judicial;
• Empresa B2B sediada no Brasil que trata dados dos colaboradores para cumprimento de
obrigações tributárias.
Pag. 6
origem.
Falta pouco para atingir seus objetivos. Vamos praticar alguns conceitos?
Pag. 7
É obrigatório o cumprimento dos critérios cumulativos:
• Agente de Tratamento ser pessoa natural;
• Possuir interesse particular e não econômico.
Assim, a LGPD se aplica a médico liberal que trata dados de pacientes (já que o
interesse não é particular), bem como a entidades beneficentes que tratam dados sem
finalidade econômica (já que não são pessoas naturais).
Exemplo concreto:
• Noivos que tratam nome, e-mail e telefone de convidados para lista de casamento
(obs: salão de festas, sites com listas de presentes e afins são agentes de
tratamento, já que a finalidade não é particular e, frequentemente, não são pessoas
naturais).
Fins exclusivos de: (i) segurança pública; (ii) defesa nacional; (iii) segurança do
Estado; (iv) investigação e repressão de infrações penais.
As peculiaridades das atividades impõem tratamento diferenciado para os temas
listados.
Tramita no Congresso um anteprojeto apelidado de “LGPD Penal”.
Exemplo concreto:
• Dados sigilosos contidos em investigações penais, que não poderiam se submeter ao
dever de transparência contido na LGPD, por exemplo.
Pag. 8
Falta pouco para atingir seus objetivos. Vamos praticar alguns conceitos?
Verificamos que a LGPD não se aplica aos dados pessoais que tenham a finalidade
exclusivamente particular e não econômica, dentre outros fins. Veremos, na próxima
videoaula, os fundamentos da Lei Geral de Proteção de Dados.
Pag. 9
Atualmente, é visto também como direito que importa à coletividade, na medida em que
é utilizado para modelar negócios e política, por exemplo. Da privacidade deriva o
direito à proteção de dados pessoais.
Autodeterminação Informativa
Aumenta o controle pessoal sobre o fluxo dos próprios dados pessoais.
Deve estar presente, sobretudo nas ocasiões em que houver possibilidade de escolha
para o titular.
Liberdade de Expressão, de Informação, de Comunicação e de Opinião
Sobretudo no ambiente virtual, o tema das liberdades de expressão, informação,
comunicação e opinião gera preocupações legítimas ao legislador.
Assim, é comum reparar que normas que tratam de novas tecnologias se preocupam em
assegurar o equilíbrio, como o presente, entre liberdade de expressão e proteção de
dados pessoais.
Pag. 10
Falta pouco para atingir seus objetivos. Vamos praticar alguns conceitos?
De acordo com a previsão trazida pela Lei Geral de Proteção de Dados, assinale
a alternativa correta:
Pag. 11
negócios.
Assim, é possível considerar que a LGPD traz um reforço mais específico em relação à
proteção de dados pessoais dos consumidores.
Contudo, é importante observar a necessária compatibilização com outros direitos
fundamentais, como a livre iniciativa e a inovação.
Direitos humanos
A previsão é um reforço aos demais fundamentos, já que a privacidade, a liberdade de
expressão, a liberdade de opinião e tantas outras disposições são consideradas
direitos humanos.
Livre desenvolvimento da personalidade
O tratamento inadequado de dados pessoais tem o potencial de prejudicar o
desenvolvimento da personalidade por diversas razões, podendo gerar exposição
indevida, discriminação e cerceamento de direitos, razão pela qual a proteção de
dados contribui com o desenvolvimento.
Falta pouco para atingir seus objetivos. Vamos praticar alguns conceitos?
A Lei Geral de Proteção de Dados prevê amplo rol de fundamentos. Sobre o tema,
assinale a alternativa correta:
Pag. 12
Que tal explorarmos um pouco mais sobre esse tema?
Pag. 13
Falta pouco para atingir seus objetivos. Vamos praticar alguns conceitos?
Com essa videoaula, terminamos a primeira parte deste tema, na qual abordamos tópicos
relacionados a definição e fundamentos da LGPD. Vamos seguir agora com um assunto
muito importante que é a proteção de dados pessoais como direito fundamental. Vamos
lá!
Pag. 14
Aspectos iniciais da LGPD
Pag. 15
O direito à privacidade como direito de ser deixado só se torna insuficiente.
Apesar de preservar o sentido, há uma ampliação, já que a evolução tecnológica
reduziu a privacidade.
Meios de flexibilização do direito são cotidianos e tramitam paralelamente à evolução
tecnológica e à utilização de mais componentes tecnológicos, seja pela ampliação do
uso da internet, do uso de dispositivos móveis e da internet das coisas (IoT), por
exemplo.
Abrangência atual
Com a evolução tecnológica, a privacidade passa da relação “pessoa – informação –
segredo” para “pessoa – informação – circulação – controle”.
Basicamente, o direito à proteção de dados pessoais é uma evolução do direito à
privacidade, concedendo ao titular mais informação, controle, autodeterminação e não
discriminação.
Portanto, ultrapassa a concepção de não ter seus dados tratados ou suas informações
acessadas, atingindo o maior respeito e controle.
Falta pouco para atingir seus objetivos. Vamos praticar alguns conceitos?
Pag. 16
proteção de dados pessoais e a evolução da legislação europeia.
Vamos em mais essa jornada!
Pag. 17
• A CNIL ainda é a autoridade de proteção de dados pessoais, resguardada a evolução
do tema.
Outros países legislavam sobre o tema antes de 1980: Dinamarca, Áustria, Noruega,
Luxemburgo e Islândia.
Falta pouco para atingir seus objetivos. Vamos praticar alguns conceitos?
Entendemos como a proteção de dados funciona em alguns países e no mundo. Que tal
verificarmos um pouco sobre a evolução da legislação na Europa?
Pag. 18
Na União Europeia, ficou nítido que a proliferação de diplomas internos não seria
suficiente para regular o tema da proteção de dados pessoais, já que é muito comum
que o fluxo de informações ultrapasse fronteiras.
Como deveria ser regulada a situação de agentes de tratamento que operam entre países
que possuam normas distintas e, eventualmente, conflitantes entre si?
É reforçada a busca por normas comuns e pela uniformização supranacional.
OCDE (1981): Convenção para proteção de dados de indivíduos que possuem dados
processados de forma automatizada
• Estimula países membros do Conselho da Europa e demais signatários da convenção a
adotarem normas para tratamento de dados pessoais, segundo parâmetros estipulados.
• Houve assinatura de países latinos, como Argentina, México e Uruguai.
• A partir da Convenção, vários países europeus promoveram adequação, como Bélgica e
Espanha.
• O Reino Unido adere à Convenção e cria uma autoridade de proteção de dados
pessoais, que posteriormente se adere à ICO (Information Commissioner Office), atual
autoridade.
Diretiva 95/46/CE
• Prevê terminologia básica, como costuma ocorrer em legislação semelhante, como a
LGPD brasileira.
• Estrutura principiológica, se adequando à dinâmica do tema.
• Vincula poder público e privado.
• Era necessária a transposição dos termos para o direito interno de cada país.
Surge a necessidade de uma normatização que fosse aplicável a todos os países
membros.
Pag. 19
Falta pouco para atingir seus objetivos. Vamos praticar alguns conceitos?
Pag. 20
• Estrutura principiológica;
• Vincula os Estados-membros;
• Possui um rol de considerandos que cobrem questões práticas relevantes, como o
Legítimo Interesse;
• Prevê a necessidade de uma base legal / hipótese de tratamento;
• Traz determinações sobre segurança da informação;
• Coloca o titular como centro da regulamentação e tutela diversos direitos;
• Prevê instrumentos híbridos de regulação;
• Privilegia medidas de accountability e transparência.
Pag. 21
Falta pouco para atingir seus objetivos. Vamos praticar alguns conceitos?
Os direitos dos titulares devem ser previstos por ato das autoridades
nacionais de proteção de dados pessoais.
Pag. 22
apenas o direito fundamental à proteção de dados pessoais, como à autodeterminação
informativa (ADI 6393).
O caso era de ação direta de inconstitucionalidade que buscava invalidar Medida
Provisória que obrigava empresas de telefonia a disponibilizar dados pessoais de
clientes ao IBGE para a realização de entrevistas não presenciais.
Na ocasião, ficou conhecido o voto do Min. Luiz Fux reconhecendo a autonomia dos
direitos fundamentais:
“A autonomia do direito fundamental em jogo na presente ADI exorbita, em essência, de
sua mera equiparação com o conteúdo normativo da cláusula de proteção ao sigilo. A
afirmação de um direito fundamental à privacidade e à proteção de dados pessoais
deriva, ao contrário, de uma compreensão integrada do texto constitucional lastreada
(i) no direito fundamental à dignidade da pessoa humana, (ii) na concretização do
compromisso permanente de renovação da força normativa da proteção constitucional à
intimidade (art. 5º, inciso X, da CF/88) diante do espraiamento de novos riscos
derivados do avanço tecnológico e ainda (iii) no reconhecimento da centralidade do
Habeas Data enquanto instrumento de tutela material do direito à autodeterminação
informativa.
A proteção de dados pessoais e autodeterminação informativa são direitos fundamentais
autônomos extraídos da garantia da inviolabilidade da intimidade e da vida privada e,
consectariamente, do princípio da dignidade da pessoa humana”.
Pag. 23
Falta pouco para atingir seus objetivos. Vamos praticar alguns conceitos?
Vimos que, mesmo tendo sido aprovada a LGPD em 2018, o reconhecimento veio apenas em
2020, quando o STF, além de reconhecer a LGPD como um direito fundamental, também
reconheceu o ADI 6393.
Emenda Constitucional
No Brasil, passou a vigorar a Emenda Constitucional nº 115 em fevereiro de 2022, com
alteração do art. 5º da CRFB e atribuição de competência legislativa.
Segundo a doutrina, a previsão se trata de norma programática, regulamentada pela Lei
Geral de Proteção de Dados Pessoais, assim como a defesa do consumidor, prevista
constitucionalmente, é preenchida pelo Código de Defesa do Consumidor.
Pag. 24
Alteração do artigo 5º
A principal mudança foi o texto legal do art. 5º, com inclusão do inciso LXXIX:
LXXIX - é assegurado, nos termos da lei, o direito à proteção dos dados pessoais,
inclusive nos meios digitais.
Portanto, o direito fundamental à proteção de dados pessoais passa a ser protegido
nos meios físico e digital.
Falta pouco para atingir seus objetivos. Vamos praticar alguns conceitos?
Pag. 25
próximo módulo, esperamos você para conhecer os princípios e o conceito de dados
pessoais e como esse conhecimento poderá ajudá-lo(a).
Dados pessoais
• É toda informação capaz de identificar uma pessoa física ou torná-la identificável.
• São considerados dados pessoais não só aqueles que identificam uma pessoa
imediatamente (como nome, sobrenome, CPF, RG, CNH, carteira de trabalho e título de
eleitor), como também aqueles que, em conjunto com outros dados, tornam uma pessoa
identificável. Dados como gênero, idade, telefone, e-mail, ainda que não sejam
Pag. 26
capazes de identificar alguém de imediato, em conjunto, tornam a pessoa passível de
identificação.
• A título de exemplo, imagine que você queira identificar determinado colaborador.
Se você souber em que área esse colaborador trabalha, as opções já se tornam muito
mais reduzidas e você está mais perto de identificá-lo. Se souber que esse
colaborador é uma mulher, as opções ficam mais restritas. Sabendo a sua idade, talvez
você já consiga identificar essa colaboradora. Assim, agregando mais dados a essa
equação, aqueles dados que, a priori, não seriam capazes de identificar alguém de
plano (como área em que trabalha, gênero e idade), analisados em conjunto,
possibilitam essa identificação, razão pela qual também poderão ser considerados
dados pessoais.
Tratamento
Qualquer operação ou conjunto de operações efetuadas com dados pessoais ou sobre
Pag. 27
conjuntos de dados pessoais, por meios automatizados ou não automatizados,
tais como coleta, produção, recepção, utilização, classificação, acesso,
reprodução, transmissão, distribuição, processamento, arquivamento,
armazenamento, eliminação, avaliação ou controle da informação,
modificação, comunicação, transferência, difusão ou extração.
Falta pouco para atingir seus objetivos. Vamos praticar alguns conceitos?
Dentre as opções abaixo, qual delas traz exemplos de dados pessoais sensíveis?
Conhecemos um pouco sobre como devem ser tratados os dados pessoais, os dados
pessoais sensíveis e o titular de dados pessoais. Na sequência, veremos os conceitos
de agentes de tratamento, controlador, operador, controladoria conjunta e
controladoria independente.
Vamos continuar em mais esta etapa de nosso aprendizado!
Pag. 28
Conceitos básicos: agentes de tratamento, controlador, operador e controladoria
Controladoria Conjunta
As decisões referentes ao tratamento de dados competem às duas partes e há
reciprocidade quanto à postura ativa sobre o tratamento dos dados, com
compartilhamento de responsabilidades.
Além disso, por decidirem conjuntamente acerca das operações, devem se ater ao teor
do que for acordado, sob pena de atuarem como Controladores Independentes.
Ambas as partes reconhecem que tratam os dados pessoais em razão do objeto
estabelecido no Contrato e de acordo com as decisões conjuntas e licitamente tomadas,
aplicando todas as medidas técnicas e/ou administrativas necessárias ao tratamento de
Pag. 29
dados.
Controladoria Independente
Podem ser classificados como tais desde o início da relação ou surgir em razão do
descumprimento de obrigações por um dos Controladores Conjuntos.
As partes respondem por seus atos de forma independente e eventuais prejuízos
causados à outra parte devem ser ressarcidos, cabendo eventual ação de regresso.
Falta pouco para atingir seus objetivos. Vamos praticar alguns conceitos?
Controladoria conjunta.
Controladoria independente.
Pag. 30
Conceitos básicos: encarregado, ANPD e CNPD
ANPD
• A Autoridade Nacional de Proteção de Dados (ANPD) é o órgão da administração
pública, responsável por regular e fiscalizar a proteção de dados pessoais de acordo
com as disposições contidas na LGPD.
• A sua missão institucional é garantir a mais ampla e correta observância da LGPD no
Brasil, assegurando a devida proteção aos direitos fundamentais de liberdade,
privacidade e livre desenvolvimento da personalidade dos indivíduos.
• Principais competências da ANPD: art. 55-J da LGPD.
Site: https://www.gov.br/anpd/pt-br
CNPD
• O Conselho Nacional de Proteção de Dados Pessoais e da Privacidade é entidade de
natureza consultiva que viabiliza a participação dos diferentes segmentos sociais na
conformação do ambiente regulatório de proteção de dados pessoais.
• Composto por vinte e três membros titulares e suplentes, com mandato de dois anos,
designados pelo Presidente da República.
Pag. 31
de serviços.
• Compete ao encarregado o exercício das funções estabelecidas no art. 41, §2º da
LGPD:
I - aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e
adotar providências;
II - receber comunicações da autoridade nacional e adotar providências;
III - orientar os funcionários e os contratados da entidade a respeito das práticas a
serem tomadas em relação à proteção de dados pessoais; e
IV - executar as demais atribuições determinadas pelo controlador ou estabelecidas em
normas complementares.
Pag. 32
Falta pouco para atingir seus objetivos. Vamos praticar alguns conceitos?
Os membros que compõem o CNPD têm mandato de dois anos e são designados pelo
Presidente da República.
Pag. 33
associação, direta ou indireta, a um indivíduo, o que o faz deixar de ser considerado
um dado pessoal.
Dados anonimizados: dado relativo a titular que não possa ser identificado,
considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu
tratamento.
Pseudonimização
Tratamento por meio do qual um dado perde a possibilidade de associação, direta ou
indireta, a um indivíduo, senão pelo uso de informação adicional mantida
separadamente pelo controlador em ambiente controlado e seguro.
Pag. 34
Fonte: Itforum. Acesso: https://itforum.com.br/noticias/brasil-esta-na-sexta-colocacao-entre-os-paises-mais-atingidos-por-vazamentos-d
e-dados-em-2021/
dados/
Pag. 35
Falta pouco para atingir seus objetivos. Vamos praticar alguns conceitos?
São vários os problemas que incidem sobre os dados pessoais, conforme vimos na
videaula anterior. Seguiremos para falar um pouco dos princípios da Lei Geral de
Proteção de Dados.
Você não pode perder essa!
Princípios da LGPD
Pag. 37
Falta pouco para atingir seus objetivos. Vamos praticar alguns conceitos?
Pag. 38
e prestação de contas
Princípio da Transparência
• Estabelece que os titulares têm direito a obter informações claras, precisas e
facilmente acessíveis sobre o tratamento.
• Exceção: respeito aos segredos comercial e industrial.
• Política de Privacidade e Termos e Condições de Uso.
• Evitar o peticionamento feito pelo titular no site da ANPD.
Princípio da Segurança
• Determina a utilização de medidas aptas a proteger os dados pessoais de acessos não
autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração,
comunicação ou difusão.
• Medidas técnicas e administrativas.
• Política de Segurança da Informação.
Princípio da Prevenção
• Estabelece a necessidade de adoção de medidas capazes de prevenir a ocorrência de
danos em virtude do tratamento de dados pessoais.
• O Princípio da Prevenção complementa o Princípio da Segurança, na medida em que
impõe aos agentes de tratamento a obrigação de adotar medidas preventivas contra a
ocorrência de eventuais danos decorrentes do tratamento de dados.
Princípio da Não Discriminação
• Veda que o tratamento de dados seja utilizado para fins ilícitos ou abusivos.
• Assim, o art. 20 da LGPD assegura ao titular dos dados o direito a solicitar
revisão de decisões tomadas unicamente com base em tratamento automatizado de dados
pessoais que afetem seus interesses.
Princípio da Responsabilização e Prestação de Contas
• Impõe que o agente preste contas, ou seja, que demonstre a adoção de medidas
eficazes e capazes de comprovar a observância e o cumprimento das normas de
privacidade e proteção de dados.
Pag. 39
Falta pouco para atingir seus objetivos. Vamos praticar alguns conceitos?
Vimos todos os princípios que norteiam a LGPD. No próximo módulo, falaremos sobre
Bases legais previstas na LGPD, no GDPR e no debate sobre hierarquia. Vamos lá!
Pag. 40
Aspectos iniciais da LGPD
4 | Bases Legais
Prof. Autor Daniel Becker
Ao final deste módulo, você deverá ser capaz de:
• Identificar as bases legais previstas pela LGPD e GDPR.
• Compreender as definições sobre o consentimento e o cumprimento de obrigação legal.
• Entender a execução de contrato ou procedimentos preliminares.
• Compreender a execução de políticas públicas, realização de estudos e de prevenção à fraude.
Pag. 41
• Consentimento;
• Cumprimento de obrigação legal ou regulatória;
• Tratamento e uso compartilhado de dados necessários à execução de políticas
públicas pela Administração Pública;
• Realização de estudos por órgão de pesquisa;
• Execução de contrato ou procedimentos preliminares ao contrato;
• Exercício regular de direitos em processo judicial, administrativo ou arbitral;
• Proteção da vida e tutela da saúde;
• Legítimo interesse;
• Proteção do crédito.
Pag. 42
Destaca-se que não há hierarquia entre as bases legais para o tratamento de dados
pessoais. Caberá ao agente de tratamento, definir a base legal mais adequada a cada
operação, atento aos princípios da finalidade, necessidade e adequação, previstos na
LGPD.
Enunciado n. 4889, da IX Jornada de Direito Civil: “Não há hierarquia entre as bases
legais estabelecidas nos arts. 7º e 11 da Lei Geral de Proteção de Dados” (Lei n.
13.709/2018).
Falta pouco para atingir seus objetivos. Vamos praticar alguns conceitos?
O GDPR prevê a proteção do crédito como uma das bases legais que autorizam o
tratamento de dados pessoais.
Como bases legais, abordamos o art. 7º e o art. 11 da Lei Geral de Proteção de Dados
e, com eles, aprendemos que não há hierarquia entre essas bases legais que tratam de
dados pessoais. Na próxima videoaula, abordaremos o consentimento e o cumprimento de
obrigação legal e como isso pode ou não impactar em nossas decisões. Essa você não
pode perder!
Pag. 43
Consentimento e cumprimento de obrigação legal
Consentimento
Antes da LGPD, o tratamento de dados pessoais era centralizado no consentimento,
vide, por exemplo, a hipótese do art. 7º, inc. IX, do Marco Civil da Internet (MCI -
Lei nº 12.965/2014). Como visto anteriormente, a LGPD inaugurou novas bases legais
para justificar o tratamento de dados pessoais.
Consentimento: manifestação livre, informada e inequívoca pela qual o titular
concorda com o tratamento de seus dados pessoais para uma finalidade
determinada.
Requisitos do consentimento na LGPD:
• Livre: escolha real do titular (não forçada ou induzida);
• Informado: ciência do titular sobre o tratamento de seus dados, nos termos do art.
9º, inc. I a VII, da LGPD;
• Inequívoco: ação clara e afirmativa do titular;
• Finalidade determinada: o agente de tratamento deverá descrever os propósitos
específicos do tratamento. Autorizações genéricas serão nulas (art. 8º, §4º).
O ônus do consentimento
Ao eleger a base legal do consentimento, o agente de tratamento deve estar ciente dos
seguintes ônus associados:
• O consentimento coletado por escrito deve estar em cláusula destacada das demais
(art. 8º, §1º);
• Cabe ao controlador o ônus da prova de que o consentimento foi obtido em
conformidade com a LGPD (art. 8º, §2º);
• O controlador deve coletar novo consentimento para comunicar ou compartilhar dados
Pag. 44
pessoais com outros agentes de tratamento (art. 7º, §5º);
• Direito de revogação do consentimento por procedimento gratuito e facilitado (art.
8º, §5º) ;
• Gestão do consentimento;
• Esforço operacional.
Pag. 45
Fonte: Guarante Per La Protezione dei Dati Personali (GPDP). Disponível em: https://www.garanteprivacy.it/web/guest/home
/docweb/-/docweb-display/docweb/9435753
Guarante Per La Protezione dei Dati Personali (GPDP). Disponível em: https://www.garanteprivacy.it/web/guest/home/docweb
/-/docweb-display/docweb/9435753
ra-de-dados-da-europa.html
Pag. 46
• Procedimentos para prevenção à “Lavagem de Dinheiro” – Circular nº 3.461/2009 do
Banco Central do Brasil: exigem que as instituições financeiras adotem alguns
procedimentos de coleta e análises de dados pessoais para a prevenção dos crimes de
lavagem de dinheiro.
Falta pouco para atingir seus objetivos. Vamos praticar alguns conceitos?
Vimos como funciona o consentimento como base legal no tratamento de dados pessoais.
Veremos, na sequência, como a execução do contrato funciona e como isso pode ou não
impactar a nossa vida.
Pag. 47
Execução do contrato e exercício regular do direito
A base legal do art. 7º, inc. V, provavelmente será mais adequada quando:
• Existir contrato entre o controlador e o titular de dados, e o controlador precise
realizar o tratamento dos dados pessoais para cumprir suas obrigações contratuais;
• Existir contrato entre o controlador e o titular, e o tratamento de dados pessoais
seja necessário para que o titular possa cumprir suas obrigações contratuais;
• Ainda não existe um contrato entre as partes, mas o titular interessado solicitou a
elaboração de uma proposta, e, para tanto, o controlador precisará tratar dados
pessoais. Isso se aplica mesmo que as partes não celebrem um contrato, desde que o
tratamento esteja no contexto de um contrato potencial com o titular.
Pag. 48
contrato de trabalho, por exemplo, o tratamento de dados bancários do empregado para
pagamento de salário, e o tratamento de dados para a realização de cadastro nos
sistemas digitais da empresa;
• O tratamento de dados pessoais para o processamento de compra on-line. Nesse caso,
os agentes de tratamento envolvidos precisam tratar dados pessoais, como dados de
cartão de crédito e endereço de entrega, para finalização da compra e entrega do
produto;
• Solicitação de cotação para a contratação de seguro de carro. Nesse caso, a
seguradora precisa tratar alguns dados pessoais do titular para preparar a cotação,
como idade e endereço do motorista.
Os arts. 7º, inc. VI e 11, II, “d” apresentam ressalva fundamental para esclarecer
que a proteção aos dados pessoais não compromete o direito que as partes têm de
produzir provas umas contra as outras, ainda que estas se refiram a dados pessoais do
adversário.
É também com base nessa hipótese legal que pode ser justificada a retenção de dados
pessoais por período adicional ao término do tratamento, uma vez que pode haver a
necessidade de utilização dos dados em processo judicial e, para isso, pode-se
considerar como parâmetro de prazo de retenção o prazo prescricional aplicável.
São exemplos de hipóteses de tratamento fundamentadas na base legal do exercício
Pag. 49
regular de direitos:
• Apresentação de documentos em juízo, como contratos, comprovantes de pagamento,
notas fiscais, etc.
• Produção de prova em processo judicial, administrativo ou arbitral.
Falta pouco para atingir seus objetivos. Vamos praticar alguns conceitos?
A base legal do art. 7º, inc. V, não é aplicável para o tratamento de dados
pessoais necessário à elaboração de proposta comercial solicitada pelo
titular.
A LGPD não autoriza o tratamento de dados pessoais que revelem estado de saúde
de empregado em fase de produção de provas em processo judicial.
Uma loja de roupas deseja enviar e-mails com informações sobre promoções e
novidades para seus clientes regulares; nesse caso, a base legal que autoriza
o tratamento é o art. 7º, inc. V.
Uma rede social deseja acessar a lista de amigos do Facebook de seu usuário;
nesse caso, não é possível realizar o tratamento de dados pessoais dos amigos
do usuário com fundamento no art. 7º, inc. V.
Nessa videoaula, foi possível verificar a execução de contrato e, também, como são
conhecidos os procedimentos preliminares relacionados ao contrato. Além disso, vimos
sobre o exercício regular de direitos quanto ao tratamento de dados pessoais.
Veremos, a seguir, o legítimo interesse e a proteção do crédito. Fique a par de tudo
o que está acontecendo nas Leis Gerais de Proteção de Dados. Venha com a gente!
Pag. 50
Legítimo interesse e proteção do crédito
Legítimo interesse
No inciso IX do art. 7º, a LGPD prevê uma das mais controversas hipóteses de
tratamento de dados: trata da necessidade de atendimento de interesses legítimos do
controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades
fundamentais do titular que exijam a proteção dos dados pessoais.
O legítimo interesse gera uma grande responsabilidade para os agentes de tratamento.
Isso porque tais agentes devem dedicar uma atenção especial no tocante ao registro de
informações para o caso de fiscalização futura. Nesse caso, será fundamental provar
que o tratamento era necessário com base no interesse legítimo.
Faz-se necessário, então, avaliar em que medida esse legítimo interesse pode ser
alegado diante dos direitos e das liberdades fundamentais do titular. Cabe apontar
que a própria LGPD não resolve, a priori, eventuais conflitos, já que não prevê a
prevalência dos direitos dos titulares de dados, mas somente daqueles em relação aos
quais a situação concreta exige proteção, sendo, portanto, um dispositivo bastante
aberto a interpretações.
O GDPR também prevê a base legal do legítimo interesse e as autoridades europeias,
como o ICO (International Commissioner’s Office), recomendam a elaboração do Teste de
Legítimo Interesse (LIA), composto pelos testes de finalidade, necessidade e
proporcionalidade, a fim de verificar a viabilidade da base legal do legítimo
interesse.
A LGPD estabelece algumas condições associadas à base legal do legítimo interesse:
• Tratar apenas os dados estritamente necessários para a finalidade pretendida (art.
10, §1º);
Pag. 51
• Adoção de medidas para garantir a transparência do tratamento de dados pessoais
(art. 10, §2º);
• Elaboração de relatório de impacto à proteção de dados pessoais (art. 10, §3º).
Proteção do crédito
A base legal da proteção do crédito é uma particularidade da LGPD, que, inclusive,
não está prevista no GDPR.
Os textos originais dos Projetos de Lei apresentados não previam a base legal da
proteção do crédito, sendo incluída em texto substitutivo com a seguinte proposta de
redação: “X – para proteção do crédito de acordo com o art. 43 da Lei nº 8.078, de 11
de setembro de 1990, que dispõe sobre a proteção do consumidor”. Em seguida, essa
redação foi alterada, sendo substituída pelo texto atual, sob justificativa de que a
proteção do crédito abrange outras legislações além do CDC, como a própria Lei do
Cadastro Positivo.
Observa-se que as alterações no texto legal, que acertadamente excluíram a referência
expressa ao CDC, permitiram maior amplitude de interpretação e aplicação da base
legal de proteção do crédito, que pode ser considerada para outras hipóteses além da
formação de cadastros de inadimplentes (art. 43, do CDC).
São exemplos de hipóteses de tratamento fundamentadas na base legal da proteção do
crédito:
• Criação de banco de dados de cadastros de inadimplentes e adimplentes e
compartilhamento desses dados para avaliação de risco de crédito;
• Qualquer tipo de procedimento de avaliação de crédito que realize o tratamento de
diversos tipos de dados pessoais dos titulares, como composição de patrimônio, dados
de compras e pagamentos, comportamento, etc. para a realização de operações de
Pag. 52
crédito (financiamentos, cheque especial, cartão de crédito, etc.).
Falta pouco para atingir seus objetivos. Vamos praticar alguns conceitos?
Pag. 53
Proteção da vida e tutela da saúde
Proteção da vida
Art. 7º, inc. VII. O tratamento de dados pessoais somente poderá ser realizado nas
seguintes hipóteses: para a proteção da vida ou da incolumidade física do
titular ou de terceiro.
A mesma base legal está prevista no art. 11, inc. II, “e”, da LGPD, como fundamento
para o tratamento de dados pessoais sensíveis, dispensado o consentimento.
O objetivo é que esses dados sirvam para garantir a qualidade de vida da sociedade
como um todo, e que haja uma redução dos riscos no desenvolvimento de doenças,
visando atender ao interesse público.
Tutela da saúde
Pag. 54
Art. 7º, inc. VIII. O tratamento de dados pessoais somente poderá ser realizado nas
seguintes hipóteses: para a tutela da saúde, exclusivamente, em
procedimento realizado por profissionais de saúde, serviços de saúde ou
autoridade sanitária.
A mesma base legal está prevista no art. 11, inc. II, “f”, da LGPD, como fundamento
para o tratamento de dados pessoais sensíveis, dispensado o consentimento.
Cabe destacar que a LGPD veda o compartilhamento de dados pessoais sensíveis
referentes à saúde com o objetivo de obter vantagem econômica, exceto nas seguintes
hipóteses: (i) de prestação de serviços de saúde, de assistência farmacêutica e de
assistência à saúde, incluídos os serviços auxiliares de diagnose e terapia, em
benefício dos interesses dos titulares de dados; (ii) para permitir a portabilidade
de dados quando solicitada pelo titular e; (iv) para permitir as transações
financeiras e administrativas resultantes do uso e da prestação de tais serviços de
saúde.
Pag. 55
Falta pouco para atingir seus objetivos. Vamos praticar alguns conceitos?
Assim como a LGPD, o GDPR limita a base legal de proteção da vida apenas para
o tratamento de dados realizado por profissionais de saúde no atendimento do
titular.
Vimos que a proteção dos dados pessoais é de suma importância na LGPD. Saberemos como
é realizado o tratamento e como se dá o uso compartilhado de dados necessários à
execução de políticas públicas. São informações que você não deve perder, pois são
conhecimentos únicos para você que está com a gente. Fique sempre informado; isso
poderá fazer a diferença para você e seu empreendimento.
Pag. 56
Execução de políticas públicas
Pag. 57
Realização de estudos por órgão de pesquisa
Art. 7º, inc. IV. O tratamento de dados pessoais somente poderá ser realizado nas
seguintes hipóteses: para a realização de estudos por órgão de pesquisa,
garantida, sempre que possível, a anonimização dos dados pessoais.
A presente base legal também é aplicável para o tratamento de dados pessoais
sensíveis (art. 11, II, “c”) e é essencial para o desenvolvimento econômico,
tecnológico e para a inovação, fundamentos da disciplina da proteção de dados
pessoais (art. 2º. inc. V).
Pag. 58
identificação do titular em meios eletrônicos. Assim, tem-se como exemplos de
hipóteses de tratamento em fundamentadas no art. 11, II, “g”:
• Procedimentos de onboarding digital em instituições financeiras para permitir a
abertura de conta digital utilizando aplicativo de celular. Nesse caso, é necessário
o tratamento de dados biométricos para autenticação da identidade do usuário e
prevenção de fraudes.
• Confirmação de transações bancárias por meio de reconhecimento facial ou impressão
digital.
Falta pouco para atingir seus objetivos. Vamos praticar alguns conceitos?
Finalizamos este nosso primeiro tema, mas nossa jornada neste mundo espetacular do
conhecimento sobre o tratamento dos dados pessoais está apenas começando. Esperamos
você para continuarmos juntos.
Vamos conhecer ainda mais sobre a Lei Geral de Proteção de Dados e sobre a Gestão de
Riscos?
Pag. 59
Adequação à Lei Geral de Proteção de
Dados
Revolução 4.0
Pag. 61
Falta pouco para atingir seus objetivos. Vamos praticar alguns conceitos?
O papel da ANPD
ANPD
Poder Regulamentar ANPD.
Art. 55-J da LGPD, § 1º Ao impor condicionantes administrativas ao tratamento de
dados pessoais por agente de tratamento privado, sejam eles limites, encargos ou
sujeições, a ANPD deve observar a exigência de mínima intervenção, assegurados os
fundamentos, os princípios e os direitos dos titulares previstos noart. 170 da
Constituição Federale nesta Lei.(Incluído pela Lei nº 13.853, de 2019)
Fonte: http://www.planalto.gov.br/ccivil_03/Constituicao/Constituicao.htm#art170
Pag. 64
específica, e o tratamento de dados pessoais, na forma desta Lei.
(Incluído pela Lei nº 13.853, de 2019)
Fonte: http://www.planalto.gov.br/ccivil_03/_Ato2019-2022/2019/Lei/L13853.htm#art2
Falta pouco para atingir seus objetivos. Vamos praticar alguns conceitos?
Pag. 65
Acordos de cooperação técnica
Guias orientativos
• Os documentos têm como objetivo orientar e trazer esclarecimentos sobre
determinados temas da legislação sobre conceitos relacionados à proteção de dados
pessoais.
• É um instrumento que aproxima os titulares, os agentes de tratamento e a ANPD, bem
como promove a disseminação do conhecimento relacionado aos assuntos por ele
tratados. Assim, os guias auxiliam a ANPD a demonstrar entendimentos e aprofundar
conceitos de uma forma simplificada.
ANPD e SENACON
Pag. 66
• O acordo prevê ações conjuntas nas áreas de proteção de dados pessoais e defesa do
consumidor e inclui intercâmbio de informações, uniformização de entendimentos,
cooperação quanto a ações de fiscalização, desenvolvimento de ações de educação,
formação e capacitação e elaboração de estudos e pesquisas.
• Ao promover a cooperação e fomentar o diálogo interinstitucional, o ACT também
promove um canal efetivo entre os diferentes órgãos que recebem denúncias sobre
vazamentos de dados e impulsiona uma rápida atuação do poder público na proteção dos
direitos dos cidadãos. Um dos resultados do acordo até o momento foi a publicação do
guia orientativo “Como proteger seus dados pessoais: Guia do Núcleo de Proteção de
Dados do Conselho Nacional de Defesa do Consumidor em parceria com a ANPD e a
SENACON”.
Fonte: https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/arquivos-de-documentos-de-publicacoes/guia-do-consumidor_c
omo-proteger-seus-dados-pessoais-final.pdf
ANPD e CADE
• O objetivo principal do Acordo é instituir a cooperação e o contínuo diálogo com a
finalidade de promover ações a serem adotadas pela ANPD e pelo CADE quando
verificadas situações de infrações à ordem econômica,bem como casos de concentração
econômicaque envolvam dados pessoais, como,por exemplo,casosde Atos de
Concentraçãoque envolvem atransferência de dadospessoais.
• Desse modo, o CADE e a ANPD passarão a compartilhar informações, conhecimentos e
experiências nas respectivas áreas de atuação, além de promover ações
educativas conjuntas sobre procedimentos e práticas de difusão da livre
concorrência nos serviços de proteção de dados pessoais.
ANPD e NIC.br
• OAcordo estabelece o intercâmbio de informações entre a ANPD e o NIC.br.Além disso,
prevê a realização de ações de interessecomumdas organizaçõesno que diz
respeito à proteção de dados pessoais e à segurança da informação, a mútua
cooperação técnica científica voltada para o desenvolvimento de ações
eaprodução de materiais deestudos ecapacitação e conscientizaçãosobre
proteçãode dados pessoais, segurança da informação, privacidade nas redes
e tecnologia, além da previsão de apoio institucional entre as entidades.
• Um dos resultados do acordo até o momento foi a publicação dos fascículos“Vazamento
Pag. 67
de Dados”e“Proteção de Dados”,produzidos em parceria com o NIC.br e a ANPD.
Fonte: https://cartilha.cert.br/fasciculos/vazamento-de-dados/fasciculo-vazamento-de-dados.pdf
https://cartilha.cert.br/fasciculos/protecao-de-dados/fasciculo-protecao-de-dados.pdf
ANPD e TSE
• O objetivo do acordo é alinhar as diretrizesda LGPDàs leis eleitorais, produzir
conjuntamente materiais educativos e conciliar a proteção de dados pessoais ao
cenário eleitoral.
• Entre as atividades a serem desenvolvidas está o compartilhamento de estudos,
conhecimentos e experiências nas respectivas áreas de atuação, além da
realização de pesquisas e ações de capacitação, que servirão de subsídio
para a elaboração de material orientativo referente à aplicação das disposições
da LGPD no âmbito eleitoral.
• Um dos resultados do acordo até o momento foi a publicação do guia
orientativo“Aplicação da Lei geral de proteção de dados pessoais (LGPD) por agentes
de tratamento no contexto eleitoral”.
https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/guia_lgpd_final.pdf
Pag. 68
Falta pouco para atingir seus objetivos. Vamos praticar alguns conceitos?
Pag. 69
1ª etapa: Kick-off: reunião virtual com os gestores das áreas (podendo ser aberta a
todos os colaboradores que queiram participar) para apresentação dos membros.
• Objetivo: compreender as dores de cada cliente, personalizando e ajustando as
etapas do programa conforme as necessidades de cada empresa.
2ª etapa: Workshop: sobre privacidade e proteção de dados para fins de
conscientização com material de apoio.
• Tópicos abordados: introdução, principais conceitos da LGPD, bases legais de
tratamento de dados pessoais, princípios, direitos dos titulares, panorama
geral do Programa de Adequação à LGPD, recomendações de segurança.
• Objetivo do workshop: nivelamento do conhecimento e engajamento das áreas, criando
uma cultura de proteção e privacidade de dados interna.
Pag. 70
Falta pouco para atingir seus objetivos. Vamos praticar alguns conceitos?
A LGPD exige que o mapeamento de dados seja realizado por meio do uso de
plataformas e softwares, em formato automatizado.
Não há uma ordem específica a ser seguida pelo Programa de Adequação à LGPD,
consoante as disposições da LGPD.
Pag. 71
série de ferramentas tecnológicas de segurança, as empresas conseguem evitar
incidentes de segurança da informação envolvendo dados pessoais.
• Avaliações positivas junto a parceiros de negócios.
• Maior credibilidade junto a usuários, clientes e investidores.
• Oportunidade de geração de valor.
• Organização e melhoria dos processos: mudanças significativas nas empresas após o
Programa de Adequação à LGPD trarão maior organização, controle,
centralização e minimização de dados, que tendem a levar ao surgimento
de insights estratégicos, com o refinamento dos processos de tratamento e
utilização de dados.
• Ganho de valor de mercado.
• Aumento de competitividade no mercado = DIFERENCIAL COMPETITIVO.
Desafios de implementação
• Estrutura ainda deficitária da ANPD.
• Pouca divulgação do tema pelo poder
público.
• Pontos pendentes de regulamentação pela
Autoridade Nacional de Proteção de Dados
(ANPD).
• Resistência a mudanças de comportamento.
• Dificuldade na assimilação e na
internalização de hábitos e práticas
Fonte: Revista Algomais. Acesso: https://r
protetivas.
evista.algomais.com/apenas-3-entre-10-empr
• Falta de recursos disponíveis das esas-estao-adequadas-a-lgpd-diz-pesquisa/
Pag. 72
revisão periódica de documentos, a definição de responsabilidades e a capacitação dos
colaboradores com treinamentos regulares.
• Caráter híbrido das recomendações: consultoria jurídica + técnica: importante
contar com o auxílio de profissionais de diversas áreas da própria empresa, além da
contratação de escritório de advocacia e de prestador de serviços de tecnologia da
informação especializados em proteção de dados.
Falta pouco para atingir seus objetivos. Vamos praticar alguns conceitos?
Pag. 73
Treinamento de resposta a incidentes
Pag. 74
• Atualizar os documentos regulatórios.
• Conscientização dos colaboradores.
• Coordenar o Plano de Resposta a Incidentes.
• Envolver profissionais com experiência multissetorial.
• Canal de contato.
Suporte ao DPO: equipe multissetorial:
• Investigação: especialista em TI e/ou Segurança da Informação.
• Comunicação interna e alerta: normalmente equipe de DP/RH.
• Auxílio na documentação para reduzir riscos administrativos, penais e civis:
jurídico.
Falta pouco para atingir seus objetivos. Vamos praticar alguns conceitos?
Pag. 75
Adequação à Lei Geral de Proteção de
Dados
Pag. 76
tratados, formatos de armazenamento, transferências, base legal, etc.).
Pag. 77
Falta pouco para atingir seus objetivos. Vamos praticar alguns conceitos?
Pag. 78
Política de privacidade, termos e condições de uso
Política de Privacidade
Art. 9º. O titular tem direito ao acesso facilitado às informações sobre o tratamento
de seus dados, que deverão ser disponibilizadas de forma clara, adequada e ostensiva
acerca de, entre outras características previstas em regulamentação para o
atendimento do princípio do livre acesso:
I - finalidade específica do tratamento;
II - forma e duração do tratamento, observados os segredos comercial e industrial;
III - identificação do controlador;
IV - informações de contato do controlador;
V - informações acerca do uso compartilhado de dados pelo controlador e a finalidade;
VI - responsabilidades dos agentes que realizarão o tratamento; e
VII - direitos do titular, com menção explícita aos direitos contidos no art. 18
desta Lei.
• A Política de Privacidade é o documento que informa como os dados pessoais são
tratados pela organização. Nesse documento, são expostas as finalidades, medidas de
segurança, informações sobre o compartilhamento de dados, retenção e descarte, bases
legais e informações de contato.
• A Política de Privacidade cumpre com as exigências da LGPD quanto aos princípios da
transparência (art. 6º, inc. VI) e livre acesso a informações por parte do titular
(art. 6º, inc. IV).
• Cabe ressaltar que o princípio da transparência, na LGPD, é limitado pelos segredos
comercial e industrial de uma organização.
Pag. 79
É o instrumento contratual que vincula as partes para prestação de serviços,
normalmente, por meio de uma plataforma digital. Os Termos e Condições de Uso
informam os direitos e as obrigações do usuário na plataforma, sendo possível
encontrar disposições sobre cadastro, limitações, responsabilidades e atividades
vedadas, por exemplo.
Em suma, em regra, os Termos e Condições de Uso ou Termos de Serviço são contratos
que governam a relação jurídica entre o usuário final e o provedor de serviços
on-line. Considerando que os usuários geralmente não têm a oportunidade de negociar
as cláusulas dos termos, esses documentos se encaixam na categoria de contratos de
adesão (art. 54, CDC).
Pag. 80
Falta pouco para atingir seus objetivos. Vamos praticar alguns conceitos?
Entre a lista de informações que devem ser fornecidas pelo titular, nos termos
do art. 9º, da LGPD, estão: finalidade do tratamento, identificação do
controlador, direitos dos titulares.
Pag. 82
Falta pouco para atingir seus objetivos. Vamos praticar alguns conceitos?
Note que, em regra, a LGPD exige que o uso de dados pessoais tenha data de validade,
sendo que esses dados devem ser eliminados após o término do tratamento dos dados.
Veremos, a seguir, a política de segurança da informação e seus objetivos.
Pag. 83
de promoção, implementação, manutenção e melhoria do Sistema de Segurança da
Informação de uma organização.
• Trata-se de um documento de caráter híbrido (jurídico e técnico), que deve ser
construído em conjunto com o time de SI.
• Cabe notar que a segurança da informação não é restrita a sistemas computacionais,
informações eletrônicas ou sistemas de armazenamento. O conceito se aplica a todos os
formatos de tratamento de dados pessoais possíveis, incluindo meios físicos.
• A estruturação de um Sistema de Segurança da Informação e sua formalização em uma
Política atende aos princípios da segurança e prevenção, previstos na LGPD (art. 6º,
inc. VII e VIII).
• Além disso, o art. 46, da LGPD dispõe que “os agentes de tratamento devem adotar
medidas de segurança, técnicas e administrativas aptas a proteger os dados
pessoais de acessos não autorizados e de situações acidentais ou ilícitas de
destruição, perda, alteração, comunicação ou qualquer forma de tratamento
inadequado ou ilícito”.
• A Política de Segurança da Informação, assim, visa proteger e garantir os três
princípios da segurança da informação: confidencialidade, integridade e
disponibilidade. A efetiva implementação dessa política previne danos aos ativos de
uma organização, em especial, incidentes de segurança com dados pessoais.
Alguns dos itens que devem ser abordados na Política de Segurança da Informação são:
• Definição de responsabilidades entre gerente de SI, gestores das áreas e
colaboradores;
• Implementação de padrões de segurança em conformidade com as normas técnicas
aplicáveis, como a ISO 27001 e a ISO 27002;
• Normas de backup, recuperação e recursos de DLP (Data Loss Prevention – soluções
para prevenção à perda de dados);
• Políticas de senhas e restrições de acesso;
• Normas sobre o uso geral de dispositivos;
• Rotinas de auditoria;
• Penalidades aplicáveis.
Pag. 84
Resposta a Incidentes possui caráter reativo, com o objetivo de estruturar as
respostas a eventuais incidentes de segurança com dados pessoais.
• A Política de Resposta a Incidentes estabelece procedimentos e define funções para
evitar ou mitigar prejuízos à instituição em caso de incidentes envolvendo dados
pessoais.
• O documento deve ser estruturado em harmonia com as disposições da Lei Geral de
Proteção de Dados (LGPD), as boas práticas internacionais e as recomendações da
própria ANPD, sendo recomendada complementação por time especializado em SI.
• O art. 48, da LGPD determina que o controlador deve comunicar à ANPD e ao titular a
ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos
titulares. Segundo orientação da ANPD, essa comunicação deve ser feita no prazo de 02
(dois) dias úteis.
• O §1º, do art. 48, dispõe sobre o conteúdo mínimo da comunicação, qual seja: (i) a
descrição da natureza dos dados pessoais afetados; (ii) as informações sobre os
titulares envolvidos; (iii) a indicação das medidas técnicas e de segurança
utilizadas para a proteção dos dados; (iv) os riscos relacionados ao incidente; (v)
os motivos da demora, no caso de a comunicação não ter sido imediata; e (vi) as
medidas que foram ou serão adotadas para reverter ou mitigar os efeitos do prejuízo.
Pag. 85
Falta pouco para atingir seus objetivos. Vamos praticar alguns conceitos?
Pag. 86
proteção de dados pessoais: documentação do controlador que contém a
descrição dos processos de tratamento de dados pessoais que podem gerar riscos às
liberdades civis e aos direitos fundamentais, bem como medidas,
salvaguardas e mecanismos de mitigação de risco.
O objetivo do RIPD é a análise sistemática e abrangente da operação de tratamento, a
fim de demonstrar responsabilidade e transparência do controlador de dados no
tratamento de operações específicas.
Quando é necessário elaborar o RIPD?
Apesar de não indicar hipóteses específicas em que é necessário elaborar o RIPD, a
LGPD cita esse documento em alguns momentos:
• Art. 10, §3º. A autoridade nacional poderá solicitar ao controlador o relatório de
impacto à proteção de dados pessoais, quando o tratamento tiver como
fundamento seu interesse legítimo, observados os segredos comercial e
industrial.
• Art. 38. A autoridade nacional poderá determinar ao controlador que elabore
relatório de impacto à proteção de dados pessoais, inclusive de dados
sensíveis, referente a suas operações de tratamento de dados, nos termos de
regulamento, observados os segredos comercial e industrial.
Assim como a LGPD, o GDPR também exige a elaboração do Data Protection Impact
Assessment (DPIA) quando o tratamento de dados tem o potencial de gerar risco elevado
aos titulares.
De acordo com as recomendações do Information Commissioner’s Office (ICO), é
necessária a elaboração do DPIA quando:
• Há utilização de tecnologias inovadoras;
• Usar perfis para decidir sobre acesso a serviços;
• Criação de perfis de indivíduos, em larga escala;
• Há o tratamento de dados biométricos;
• Há o tratamento de dados genéticos;
• Combinação de dados de diferentes fontes;
• Há coleta de dados pessoais de uma fonte diversa, sem que o indivíduo tenha acesso
à política de privacidade;
• Rastreamento de localização ou comportamento de indivíduos;
• Criação de perfis de crianças ou direcionamento de marketing para crianças;
• Há o tratamento de dados que possa colocar em risco a saúde física ou a segurança
Pag. 87
do indivíduo.
Pag. 88
Falta pouco para atingir seus objetivos. Vamos praticar alguns conceitos?
Vimos que tanto a LGPD, quanto a GDPR exigem a criação do Data Protection Impact
Assessment (DPIA), quando a proteção de dados tem o risco elevado aos titulares. Na
sequência, abordaremos sobre as regras de boas práticas e governança.
Pag. 89
optou pela corregulação, ou seja, o desempenho das atividades da ANPD não
exclui a possibilidade de os agentes de tratamento de dados pessoais
estabelecerem regras de boas práticas e governança individualmente ou
por meio de associações (art. 50, da LGPD).
• Aliás, nos termos do art. 52, §1º, inc. IX, da LGPD, a adoção de políticas de boas
práticas e governança será um dos critérios analisados pela ANPD na aplicação de
sanções.
• Os códigos de condutas e políticas de boas práticas são fundamentais, pois
favorecem o diálogo entre o agente regulado e o regulador, além de garantir o
enforcement da legislação, adequado aos comportamentos dos agentes do setor.
Pag. 90
• NIST Privacy Framework: O Privacy Framework do NIST (National Institute of
Standards and Technology), órgão do Departamento de Comércio dos Estados
Unidos, é uma ferramenta prática que traz um conjunto granular de atividades
e controles que capacitam organizações a desempenharem adequadamente a gestão de
risco em privacidade.
• O objetivo do Privacy Framework é ajudar as organizações a gerenciar riscos de
privacidade da seguinte maneira: (i) ao considerar a privacidade durante o design e a
implantação de sistemas, produtos e serviços; (ii) ao comunicar as práticas de
privacidade; (iii) ao incentivar a colaboração entre todos os integrantes da
organização.
• ISO/IEC 27701:2019: trata-se de uma extensão das ISO/IEC 27001 e ISO/IEC 27002
para o gerenciamento de privacidade no contexto de uma organização. O documento
especifica os requisitos relacionados ao Sistema de Gerenciamento de
Informações de Privacidade e fornece orientações para o tratamento de
dados pessoais (PII – Personally Identifiable Information).
Falta pouco para atingir seus objetivos. Vamos praticar alguns conceitos?
Pag. 91
Vimos os exemplos de guias de boas práticas em proteção de dados pessoais. Na próxima
videoaula, iremos aprender os direitos dos titulares previstos na LGPD e no GDPR.
Vamos juntos neste interessante aprendizado sobre as leis gerais de proteção de
dados!
Pag. 92
momento, mediante requisição.
• O requerimento deve ser apresentado pelo próprio titular ou por representante
legalmente constituído (art. 18, §3º). Esse requerimento deve ser atendido sem custos
para o titular, nos prazos e termos previstos na LGPD (art. 18, 5º).
• Além da requisição direta ao controlador, a defesa dos direitos dos titulares
também pode ocorrer pela via judicial, em ação individual ou coletiva (art. 22).
A LGPD, em seu art. 18, prevê os seguintes direitos aos titulares de dados:
Confirmação da existência de Acesso aos dados Retificação dos
tratamento dados
Pag. 93
Falta pouco para atingir seus objetivos. Vamos praticar alguns conceitos?
Assim como o GDPR, a LGPD também garante aos titulares o direito de se opor ao
tratamento de dados pessoais, mesmo nas hipóteses de dispensa do
consentimento.
Falamos que os direitos dos titulares previstos na LGPT podem ser exercidos a
qualquer momento, mediante a requisição. Veremos, na sequência, as medidas de
verificação da identidade do titular, evitando o acesso de terceiros não autorizados.
Pag. 94
dados pessoais
Art. 18, inc. I. O titular dos dados pessoais tem direito de obter do controlador, em
relação aos dados do titular por ele tratados, a qualquer momento e mediante
requisição: confirmação da existência de tratamento.
O direito à confirmação permite ao titular ter a simples confirmação do controlador
de que seus dados estão sendo tratados.
Direito de acesso
Art. 18, inc. II. O titular dos dados pessoais tem direito de obter do controlador,
em relação aos dados do titular por ele tratados, a qualquer momento e mediante
requisição: acesso aos dados.
O direito de acesso aos dados garante ao indivíduo receber informações amplas e
completas acerca dos dados registrados sobre ele. Tais informações deverão
compreender sua origem, quais os entes receptores e o objetivo do tratamento.
Em harmonia com os princípios da segurança e da prevenção, previstos na LGPD, assim,
deve-se adotar medidas para verificar a identidade do titular, evitando que o acesso
seja concedido a terceiros não autorizados.
De acordo com as orientações do European Data Protection Board (EDPB), o controlador
não pode requerer mais dados pessoais do que aqueles necessários para viabilizar a
identificação do titular, e o tratamento das informações adicionais deve se limitar
ao propósito da autenticação de identidade (Guidelines 01/2022 on data subject rights
– Right of access).
Direito de retificação
Art. 18, inc. III. O titular dos dados pessoais tem direito de obter do controlador,
em relação aos dados do titular por ele tratados, a qualquer momento e mediante
requisição: correção de dados incompletos, inexatos ou desatualizados.
O direito de retificação está alinhado com o princípio da qualidade dos dados (art.
6º, inc. V), que garante aos titulares a exatidão, clareza, relevância e atualização
dos dados.
Pag. 95
Falta pouco para atingir seus objetivos. Vamos praticar alguns conceitos?
Pag. 96
excessivos ou tratados em desconformidade com o disposto nesta Lei.
• Os chamados dados anonimizados são aqueles que não possibilitam a identificação do
titular, considerando a utilização de meios técnicos razoáveis e disponíveis na
ocasião de seu tratamento. Assim, estão fora do escopo de aplicação da LGPD, desde
que o processo de anonimização não possa ser revertido e que não seja utilizado na
formação de perfis comportamentais.
• Por outro lado, em relação ao bloqueio e à eliminação, enquanto o primeiro diz
respeito à medida temporária, a segunda é medida definitiva, que deve ser aplicada
não só quando o tratamento for ilícito, mas quando tiver terminado, de acordo com as
suas finalidades predefinidas.
• Como se pode observar, os três direitos têm em comum a questão da utilização dos
dados desnecessários ou excessivos, o que afronta diretamente o princípio da
necessidade.
• Antes de atender à requisição de eliminação de dados, o controlador deverá avaliar
(i) se há o tratamento de dados desnecessários ou excessivo, ou (ii) se o
armazenamento dos dados está dentro do período identificado no Cronograma de Retenção
e Descarte, em conformidade com a LGPD.
Pag. 97
em relação aos dados do titular por ele tratados, a qualquer momento e mediante
requisição: eliminação dos dados pessoais tratados com o consentimento do
titular, exceto nas hipóteses previstas no art. 16, da LGPD.
• Destaca-se que esse direito é aplicável apenas para os dados pessoais tratados com
o consentimento, assim, ao receber a requisição, o controlador deverá observar a base
legal do tratamento, indicada no ROPA, e o período de retenção dos dados, indicado no
Cronograma específico.
• Exceções – art. 16, da LGPD: (i) armazenamento de dados para o cumprimento de
obrigação legal ou regulatória; (ii) armazenamento para estudo por órgão de pesquisa;
(iv) transferência a terceiro; (v) dados anonimizados.
Falta pouco para atingir seus objetivos. Vamos praticar alguns conceitos?
Sempre que o consentimento for a base legal para tratamento de dados pessoais,
o titular terá o direito de eliminação, sem exceções.
Vimos que os chamados dados anonimizados são aqueles que não possibilitam a
identificação do titular. Veremos que o consentimento pode ser revogado a qualquer
momento mediante manifestação expressa do titular. O que acha de entendermos um pouco
mais sobre o direito a informações sobre informações da negativa do consentimento?
Pag. 98
Direito a informações sobre compartilhamento
Falta pouco para atingir seus objetivos. Vamos praticar alguns conceitos?
Verificamos, nessa videoaula, que o titular das contas tem o direito de obter
informações das entidades públicas e privadas com as quais foi realizado o uso
compartilhado de dados. Iremos entender um pouco mais sobre o direito à oposição e
sobre o direito à explicação. Venha conhecer mais sobre seus direitos!
Pag. 100
Direito de oposição
Direito à explicação
• Art. 20, §1º. O controlador deverá fornecer, sempre que solicitadas, informações
claras e adequadas a respeito dos critérios e dos procedimentos utilizados
para a decisão automatizada, observados os segredos comercial e industrial.
• Aqui, é cabível a discussão sobre a possibilidade de aplicação do direito à
explicação para decisões que tenham sido tomadas por meios parcialmente
automatizados.
• A LGPD também prevê a possibilidade de auditoria da ANPD em caso de recusa no
oferecimento das informações (art. 20, §2º).
Pag. 101
Falta pouco para atingir seus objetivos. Vamos praticar alguns conceitos?
Pag. 102
é o agente de tratamento de dados; ou (ii) indicar as razões de fato ou de direito
que impedem a adoção imediata da providência (art. 18, §4º).
• Art. 19. A confirmação de existência ou o acesso a dados pessoais serão
providenciados, mediante requisição do titular: I - em formato
simplificado, imediatamente; ou II - por meio de declaração clara e
completa, que indique a origem dos dados, a inexistência de registro, os critérios
utilizados e a finalidade do tratamento, observados os segredos comercial
e industrial, fornecida no prazo de até 15 (quinze) dias, contado da data do
requerimento do titular.
Pag. 103
contra o controlador perante a autoridade nacional.
• Art. 18, §8º. O direito a que se refere o §1º deste artigo também poderá ser
exercido perante os organismos de defesa do consumidor.
• Caso o titular não tenha sua solicitação atendida via contato com o controlador,
poderá apresentar petição à ANPD, com a comprovação da solicitação não solucionada
pelo controlador.
• Para realizar a petição na ANPD, é necessária a identificação do titular, do seu
representante (se for o caso) e do agente de tratamento.
Fonte: Portal da Autoridade Nacional de Proteção de Dados. Acesso em: 24 de maio de 2022.
Pag. 104
Falta pouco para atingir seus objetivos. Vamos praticar alguns conceitos?
Pag. 105
Adequação à Lei Geral de Proteção de
Dados
Pag. 106
Proteção de Dados (ANPD).
• Perceba que o encarregado deve ser indicado tanto pelo controlador quanto pelo
operador.
Falta pouco para atingir seus objetivos. Vamos praticar alguns conceitos?
Entendemos que o Encarregado deve ser indicado tanto pelo Controlador como pelo
Operador. Abordaremos as atribuições relacionadas ao Encarregado do tratamento de
dados pessoais. Que tal saber um pouco mais sobre esse assunto?
Pag. 107
Atribuições do encarregado
Atribuições do Encarregado
• Tanto a LGPD quanto o GDPR trazem atribuições do Encarregado, que constituem um rol
mínimo, sem prejuízo de outras atribuições.
• Basicamente, as tarefas que podem ser atribuídas ao Encarregado se dividem em dois
grandes grupos: comunicação e adequação à LGPD.
• O Encarregado é um dos pilares de manutenção do programa de adequação e precisa ter
bom relacionamento interno (com os colaboradores em todos os níveis) e externo (com
parceiros, prestadores de serviços, titulares externos, autoridades de proteção de
dados).
• Art. 41, §2º da LGPD:
§ 2º As atividades do encarregado consistem em:
I - aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e
adotar providências;
II - receber comunicações da autoridade nacional e adotar providências;
III - orientar os funcionários e os contratados da entidade a respeito das práticas a
serem tomadas em relação à proteção de dados pessoais; e
IV - executar as demais atribuições determinadas pelo controlador ou estabelecidas em
normas complementares.
Pag. 108
(b) Monitorar o cumprimento da legislação e das políticas do agente de tratamento
[...];
(c) Aconselhar, quando solicitado, no que diz respeito à avaliação do impacto na
proteção de dados e acompanhar o seu desempenho;
(d) Cooperar com a autoridade supervisora;
(e) Agir como ponto de contato da autoridade de proteção de dados em questões
relacionadas com o tratamento.
Falta pouco para atingir seus objetivos. Vamos praticar alguns conceitos?
Sabemos que as tarefas que são atribuídas ao Encarregado se dividem em dois grandes
grupos: comunicação e adequação à LGPD. Descobriremos, a seguir, qual é o perfil e a
certificação do encarregado.
Pag. 109
Perfil e certificação do encarregado
E a certificação?
• As famosas certificações não são requisitos essenciais para desempenhar a função de
Encarregado. Contudo, são importantes instrumentos para certificar o conhecimento da
Pag. 110
legislação e das boas práticas.
• Além dos profissionais da área jurídica, outros têm sido nomeados para desempenhar
a função, sobretudo profissionais de segurança da informação.
Falta pouco para atingir seus objetivos. Vamos praticar alguns conceitos?
Pag. 111
algumas Hard Skills, tais como:
• Conhecimento jurídico/regulatório;
• Conhecimento sobre segurança da informação;
• Conhecimento sobre governança de dados;
• Experiência em gestão de projetos e de pessoas (entrevista, mapeamento de
processos);
• Domínio de ferramentas úteis, como Excel, Forms ou plataformas específicas, como a
One Trust, por exemplo;
• Conhecimentos em diversos ramos do direito (Lei Geral de Proteção de Dados
Pessoais, Direito do Consumidor, Direito Civil e Direito do Trabalho).
Pag. 112
Falta pouco para atingir seus objetivos. Vamos praticar alguns conceitos?
Vimos quais são as hard skills e as soft skills do encarregado. Na sequência, veremos
os possíveis conflitos de interesses e como isso pode impactar na atividade do
encarregado. Que tal entendermos um pouco mais?
Conflito de interesses
A LGPD não menciona a possibilidade ou não de acumulação de outros cargos com o papel
de Encarregado. Contudo, é prudente observar as disposições da Europa, que aprofundam
o tema.
O art. 38 (6) do GDPR autoriza a acumulação de funções e deveres, mas veda a
atribuição que possa resultar em conflito de interesses.
Pag. 113
O Article 29 Data Protection Working Party recomenda que não sejam nomeados alguns
perfis, tais como:
• Colaboradores que tomem decisões relevantes acerca de tratamento de dados pessoais;
• Pessoas que atuem como CEO, COO, CFO, CMO;
• Head de áreas;
• Qualquer colaborador que realiza tratamento de dados pessoais em larga escala.
Falta pouco para atingir seus objetivos. Vamos praticar alguns conceitos?
Em conflito de interesses, notamos que a Lei Geral de Proteção de Dados não menciona
a possibilidade de acúmulos de cargos com a função de Encarregado, porém é vedado no
Pag. 114
caso de haver conflito de interesses.
Pag. 115
pequeno porte.
• Se a nomeação for realizada, ainda que não obrigatória, será considerada boa
prática de governança.
Falta pouco para atingir seus objetivos. Vamos praticar alguns conceitos?
Ente despersonalizado.
Startups.
Vimos quem são os agentes de tratamento de pequeno porte. No próximo tema, entraremos
no mundo dos aspectos jurídicos que englobam os negócios digitais. Você não pode
ficar fora dessa!
Pag. 116
Aspectos jurídicos de negócios digitais
9 | Importância da adequação:
responsabilização judicial, sanções
administrativas, danos reputacionais e
due diligence
Prof. Autor Daniel Becker
Ao final deste módulo, você deverá ser capaz de:
• Reconhecer a responsabilidade civil dos agentes quanto a reparação de danos.
• Identificar a responsabilidade judicial.
• Conhecer a Autoridade Nacional de Proteção de Dados (ANPD).
• Entender as sanções Administrativas da LGPD.
• Identificar os parâmetros e os critérios nas aplicações das sanções.
• Identificar as consequências negativas da não adequação à LGPD.
Pag. 117
I - o operador responde solidariamente pelos danos causados pelo tratamento quando
descumprir as obrigações da legislação de proteção de dados ou quando não tiver
seguido as instruções lícitas do controlador, hipótese em que o operador equipara-se
ao controlador, salvo nos casos de exclusão previstos no art. 43 desta Lei;
II - os controladores que estiverem diretamente envolvidos no tratamento do qual
decorreram danos ao titular dos dados respondem solidariamente, salvo nos casos de
exclusão previstos no art. 43 desta Lei.
§ 4º Aquele que reparar o dano ao titular tem direito de regresso contra os demais
responsáveis, na medida de sua participação no evento danoso.
• Discussão doutrinária: responsabilidade subjetiva x responsabilidade objetiva.
Falta pouco para atingir seus objetivos. Vamos praticar alguns conceitos?
Aquele que reparar o dano ao titular tem direito de regresso contra os demais
responsáveis, na medida de sua participação no evento danoso.
Ainda que seja comprovada a culpa exclusiva do titular dos dados, o agente de
tratamento será responsabilizado.
Vimos a responsabilidade civil dos agentes quanto à reparação de danos causados pelo
Pag. 118
tratamento de dados. Veremos, agora, a responsabilidade judicial. Há muitas dicas e
informações importantes que você não pode perder.
Responsabilização judicial
Responsabilização judicial
• Direito fundamental do livre acesso à justiça: art. 5º, XXXV, CRFB88.
• Fundamento da indenização por danos morais: art. 5º, V e X da CRFB88.
• Além da previsão constitucional, a disposição do art. 927 do Código Civil (CC)
afirma que aquele que comete ato ilícito (conforme art. 186 e 187 do CC) ficará
obrigado a repará-lo, independentemente de culpa, nos casos especificados em lei, ou
quando a atividade normalmente desenvolvida pelo autor do dano implicar, por sua
natureza, risco para os direitos de outrem.
• De acordo com dados divulgados pela Folha de São Paulo, conforme pesquisa feita
pela empresa Juit, até junho de 2021, já havia mais de 600 decisões judiciais
envolvendo a LGPD.
• “LGPD: 77% das decisões que citam lei não resultaram em condenação em 2021: Em
2021, foram ao menos 465 decisões sobre o tema – 77% delas não resultaram em
condenação, tendo sido extintas ou julgadas improcedentes, mas as que
tiveram sanção tiveram danos arbitrados de R$ 600 a R$ 100 mil”. Os números
são delevantamento do escritório Opice Blum, Bruno e Vainzof Advogados
Associados, especializado em Direito Digital, que analisou decisões
judiciais sobre a LGPD em cortes superiores, tribunais de sete estados e
três tribunais regionais federais. Os julgamentos analisados foram realizados em
todo o ano passado, até 6 de dezembro.
Pag. 119
Fonte: https://images.jota.info/wp-content/uploads/2022/01/relatacc83c2b3rio-anual-jurimetria-24-01-versacc83o-final.pdf
Fonte: Relatório Anual de Jurimetria 2021. Opice Blum, Bruno e Vainzof Advogados Associados. Acesso: https://images.jota
.info/wp-content/uploads/2022/01/relatacc83c2b3rio-anual-jurimetria-24-01-versacc83o-final.pdf
Pag. 120
Fonte: Relatório Anual de Jurimetria 2021. Opice Blum, Bruno e Vainzof Advogados Associados. Acesso: https://images.jota
.info/wp-content/uploads/2022/01/relatacc83c2b3rio-anual-jurimetria-24-01-versacc83o-final.pdf
Casos concretos
Condenações não pecuniárias:
• 1001303-97.2021.8.26.0001: condenação a prestar à autora “informação das entidades
públicas e privadas com as quais o controlador realizou uso compartilhado de
dados” (art. 18, VII), bem como “declaração clara e completa que indique
origem dos dados, inexistência de registro, critérios utilizados e finalidade
do tratamento” (no prazo de até 15 dias, de acordo com art. 19, II, sob pena de
multa de R$ 100,00 por dia de atraso).
• 1000406-21.2021.8.26.0405: condenação a recolher os dados de todos os locais onde
foram compartilhados sem autorização, bem como para condenar a ré a pagar à
autora, a título de danos morais, a quantia de R$ 10.000,00.
Pag. 121
Condenações pecuniárias:
1006311-89.2020.8.26.0001: vazamento de
dados de funcionários de empresa
controladora. Divulgação
para terceiro, por funcionário, de
dados de contato de colega para fins
de assédio.
Caracterizado o vazamento de dados e
negligência da controladora no
tratamento de dados pessoais,
agravada ante a defesa da empresa
nos autos visando ao afastamento da
indenização, o que
representaria acobertamento Fonte: Juristas. Acesso: https://juristas.
Reclamações Trabalhistas
• Em análise sobre a jurisprudência brasileira trabalhista envolvendo LGPD,
constatou-se que os recentes julgados trabalhistas envolvendo LGPD não têm optado
pela configuração automática de dano moral oriundo de violação à proteção de dados
pessoais dos colaboradores.
• Tem-se verificado que, nos casos em que há condenações de empregadores por danos
morais, segue-se o padrão do sistema jurídico brasileiro, para além das discussões
sobre existência ou não de culpa, a depender do regime subjetivo ou objetivo: (i)
ocorrência do ato ilícito; (ii) nexo causal entre ato ilícito e o dano; e (iii) a
efetiva demonstração do dano sofrido. Não parece ter sido a intenção do legislador
considerar o dano como presumido, sem que fosse necessária a prova do efetivo
prejuízo sofrido, para o caso de violação às previsões da LGPD.
• De todo modo, nos casos em que presentes todos os elementos ensejadores da
indenização, o valor máximo da condenação não ultrapassou o valor de R$ 5.000,00
(cinco mil reais), envolvendo casos como:
• (i) acesso indevido ao celular privado da colaboradora, utilizando mensagens
pessoais como motivo de justa causa (ROT 0020380-59.2020.5.04.0405);
• (ii) publicação do celular da colaboradora no site da empresa sem sua autorização (
Pag. 122
ROT 0010337-16.2020.5.03.0074);
• (iii) utilização da sua assinatura do certificado digital da ex-colaboradora, mesmo
após a extinção do contrato (ATOrd 0000655-47.2021.5.11.0052); e
• (iv) realização de exame etílico sem atender aos princípios da transparência,
finalidade e necessidade (ATSum 0024177-39.2021.5.24.0021).
Falta pouco para atingir seus objetivos. Vamos praticar alguns conceitos?
Não há, na CRFB88, dispositivo que assegure o direito à indenização por dano
material ou moral decorrente de sua violação.
Pag. 123
ANPD e processo administrativo sancionador
ANPD
• A ANPD é o órgão da administração pública federal responsável por zelar pela
proteção de dados pessoais e por regulamentar, implementar e fiscalizar o
cumprimento da LGPD no Brasil.
• Art. 55-J. Compete à ANPD:
I - zelar pela proteção dos dados pessoais, nos termos da legislação;
IV - fiscalizar e aplicar sanções em caso de tratamento de dados realizado em
descumprimento à legislação, mediante processo administrativo que assegure o
contraditório, a ampla defesa e o direito de recurso.
Pag. 124
(iii) média mensal de 293 denúncias de titulares de dados na Ouvidoria.
Pag. 125
ou decorrido o prazo sem a sua apresentação, é elaborado o relatório de instrução.
• Fase de decisão: deverá indicar os fatos e os fundamentos jurídicos e, caso
aplicável, virá acompanhada de sanção cabível.
• Fase de recurso: Art. 60. O recurso administrativo terá efeito suspensivo limitado
à matéria contestada da decisão, ressalvadas as hipóteses de fundado receio de
prejuízo de difícil ou incerta reparação decorrente da execução da decisão
recorrida.
Falta pouco para atingir seus objetivos. Vamos praticar alguns conceitos?
Pag. 126
Sanções administrativas previstas na LGPD
Sanções Administrativas
• Advertência (art. 52, I da LGPD): é a sanção mais branda, vez que funciona como
aviso ao infrator, no sentido de cientificá-lo da possível irregularidade
detectada, bem como oportunizar a sua correção. Deverá se dar por via oral
ou escrita; certo é que, ao advertir o infrator, a ANPD deverá também indicar
prazo para a tomada das respectivas medidas de regularização.
• Multa simples (art. 52, II da LGPD): diferentemente da multa diária, a multa
simples é arbitrada por critério global, e não temporal. Nesse sentido,
trata-se de sanção administrativa de caráter pecuniário, a ser arbitrada até
o limite de 2% (dois por cento) do faturamento da pessoa jurídica infratora, tendo
por base seu último exercício financeiro. De todo modo, tal valor não poderá
exceder a quantia de R$ 50.000.000,00 (cinquenta milhões de reais) por
infração.
• Multa diária (art. 52, III da LGPD): trata-se de sanção pecuniária a ser imposta
por dia, enquanto perdurar a infração. Para tanto, devem ser respeitados os
mesmos limites totais da multa simples, conforme anteriormente referido.
• Bloqueio de dados (Art. 52, V da LGPD): nos termos do art. 5º, XIII, LGPD, o
bloqueio consiste na suspensão temporária das operações de tratamento,
mediante guarda do dado pessoal ou do banco de dados. A partir disso, é
necessário observar que a sanção de bloqueio incide apenas sobre os dados
pessoais relacionados à infração cometida, e não sobre todas as operações
realizadas pelo infrator. Ainda, é medida de caráter temporário, que deve
perdurar somente até a efetivação das providências de regularização
Pag. 127
necessárias.
• Cumpre salientar que a Lei 13.853/19 inclui outras três hipóteses de sanções nos
incisos X (suspensão parcial do funcionamento de banco de dados), XI (suspensão do
tratamento de dados pessoais) e XII (proibição parcial ou total das
atividades relacionadas a tratamento de dados).
• Inicialmente, tais sanções foram objeto de veto presidencial; entretanto, o veto
foi derrubado pelo Congresso Nacional, que restabeleceu a aplicação das sanções.
• O §6º restringiu a aplicação das mesmas, podendo ser aplicadas somente em caso de
reincidência (ressalvado o caso da primeira sanção ser a de advertência) e nos casos
em que o controlador estiver submetido a outros órgãos e entidades com competências
sancionatórias, desde que ouvidos esses últimos.
Pag. 128
Falta pouco para atingir seus objetivos. Vamos praticar alguns conceitos?
Você conseguiu analisar como algumas sanções administrativas são, como o caso da
advertência, a multa simples, a multa diária, o bloqueio de dados e a eliminação de
dados. Na sequência, verificaremos os parâmetros para a aplicação dessas sanções.
Pag. 129
seguintes fatores:
a) a gravidade e a natureza das infrações e dos direitos pessoais afetados;
b) a configuração de boa-fé por parte do infrator;
c) a vantagem auferida ou pretendida;
d) a condição econômica do infrator;
e) a reincidência;
f) o grau do dano;
g) o nível de cooperação do infrator;
h) a adoção reiterada e demonstrada de medidas para reverter ou mitigar os efeitos do
dano;
i) a adoção de política de boas práticas e governança;
j) a pronta adoção de medidas corretivas; e
k) a proporcionalidade entre a gravidade da falta e a intensidade da sanção.
Pag. 130
Dados de Portugal (CNPD) aplicou multa de 400 mil euros ao hospital por
permitir acesso indiscriminado a um número excessivo de usuários. Apesar de
haver apenas 296 médicos no hospital, 689 pessoas possuíam acesso indevido a
dados sensíveis dos pacientes.
3. Banco de dados da Singapore Health Services Pte Ltd’s (SingHealth) – jan/2019: um
ataque cibernético ocasionou um vazamento de dados pessoais de 1,5 milhão de
pessoas e registros de medicações utilizadas por mais de 159 mil pessoas. A
agência responsável por manter e desenvolver os sistemas de informática da
SingHealth foi condenada a pagar indenização equivalente a 750 mil dólares
de Singapura (mais de 2 milhões de reais).
4. Knuddels.de – nov/2018: a rede social alemã recebeu uma multa de €200 mil euros
por um vazamento de dados que expôs informações de mais de 330 mil pessoas,
incluindo seus e-mails e senhas. Apenas em alguns casos, outras
informações, como nome e endereço dos usuários, foram vazadas e
disponibilizadas em serviços de nuvem pública. A quebra de sigilo
mostrou que o site mantinha guardados esses dados em formato de texto comum,
sem encriptação alguma ou anonimização das informações que pudessem dificultar a
identificação dos usuários.
Pag. 131
76285
https://g1.globo.com/tudo-sobre/facebook/
Falta pouco para atingir seus objetivos. Vamos praticar alguns conceitos?
Assinale a opção que não representa um parâmetro para aplicação das sanções
administrativas da LGPD.
Reincidência.
Notamos que os parâmetros para a aplicação das sanções são bem claros e vimos também
os casos concretos internacionais. Na próxima videoaula, verificaremos os danos
reputacionais causados pelos incidentes de segurança e a due diligence. Vamos
entender um pouco mais sobre esse assunto?
Pag. 132
As principais reclamações dos clientes têm sido:
• Vazamento e compartilhamento indevido de dados de clientes com terceiros;
• Dificuldade e burocracia na exclusão de seus dados pessoais;
• Contato indevido. Ex: Mail marketing, SMS e contato telefônico;
• Falha na relação de transparência com os consumidores. Ex: políticas de
privacidade confusas ou inexistentes.
%20de%20dados-,LGPD%20%C3%A9%20citada%20mais%20de%202%2C7%20mil,em%20reclama%C3%A7%C3%B5es%20no%20portal%20ReclameAQUI
“Os fiscais do Procon/MS realizaram fiscalização em diversos sites e aplicativos de vendas, onde constataram termos de
Pag. 133
As empresas já vêm questionando, por meio de Avaliação de Fornecedores, se a futura
fornecedora e parceira de negócio tem projeto de adequação à LGPD. O fato
de uma delas não estar adequada pode ser um verdadeiro obstáculo para fechar um
negócio.
• Dano reputacional: as empresas têm se deparado com uma consequência ainda mais
delicada: o dano reputacional causado pelos incidentes de segurança e pela
prática de outros ilícitos relacionados à proteção de dados pessoais. Essa
consequência tende a ser cada vez maior, à medida que houver maior
conscientização por parte dos titulares de dados sobre o tema.
• O relatório do Global Risks Report" do World Economic Fórum destaca que a reputação
se torna cada vez mais o principal ativo intangível das organizações.
• Vazamentos, multas, indenizações acarretam danos reputacionais, que podem gerar a
diminuição da confiança depositada por clientes, fornecedores e investidores.
Falta pouco para atingir seus objetivos. Vamos praticar alguns conceitos?
As empresas têm se deparado com uma consequência ainda mais delicada: o dano
reputacional causado pelos incidentes de segurança e pela prática de outros
ilícitos relacionados à proteção de dados pessoais.
Pag. 134
Aspectos jurídicos de negócios digitais
Bases legais para o tratamento de dados pessoais: MCI vs. LGPD Pag. 135
• MCI – Art.7º, inc. IX. O acesso à internet é essencial ao exercício da cidadania, e
ao usuário são assegurados os seguintes direitos: consentimento expresso sobre
coleta, uso, armazenamento e tratamento de dados pessoais, que deverá ocorrer
de forma destacada das demais cláusulas contratuais.
• LGPD – Art. 7º. O tratamento de dados pessoais somente poderá ser realizado nas
seguintes hipóteses: consentimento, cumprimento de obrigação legal ou regulatória,
execução de políticas públicas, realização de estudos por órgão de pesquisa, execução
de contrato, exercício regular de direitos, proteção da vida, tutela da saúde,
interesse legítimo, proteção do crédito.
Pag. 136
Falta pouco para atingir seus objetivos. Vamos praticar alguns conceitos?
Vimos as principais diferenças entre a MCI e a LGPD e quais as bases legais para o
tratamento de dados pessoais. Veremos, na próxima videoaula, sobre o marketing, o
marketing direto e o impacto aos direitos dos indivíduos. Vamos lá!
Pag. 137
Com o advento das novas tecnologias, a relação entre marketing e dados pessoais se
estreitou, permitindo a personalização de conteúdos e a predição de interesses.
No caso do marketing direto, o uso de dados pessoais é fundamental para compreender
os interesses e as necessidades do público-alvo. O marketing direto é um conjunto de
estratégias de marketing focadas em promover produtos e serviços destinados a um
público específico. Alguns exemplos práticos de ações de marketing direto:
telemarketing, e-mail marketing, mala direta, etc.
Pag. 138
Falta pouco para atingir seus objetivos. Vamos praticar alguns conceitos?
Aprendemos como o marketing direto funciona juntamente com as novas tecnologias que
estão no mercado. Veremos quais são as bases legais no tratamento de dados em
marketing. Venha conosco para sabermos um pouco mais.
Pag. 140
marketing não objetivam a proteção da vida ou da tutela da saúde do
indivíduo. Ainda que a mensagem publicitária promova algum produto ou
serviço benéfico à saúde do titular, o objetivo específico do tratamento dos
dados pessoais é a oferta do item, não a proteção da vida, nem a tutela da
saúde.
• Execução de contrato ou de procedimentos preliminares (art. 7º, inc. V): essa base
legal é aplicável apenas se o agente de tratamento possui contrato com o
titular dos dados pessoais e se a atividade está inserida no escopo
contratual. Considere o caso de que o titular precisa informar seu e-mail
para realizar o cadastro em um e-commerce. Após realizar o pedido e o pagamento,
o titular recebe mensagens, no seu e-mail, informando a aprovação do pedido e a
atualização sobre a entrega. Nesse caso, as mensagens se inserem no
escopo contratual (compra e venda de produtos via e-commerce), por isso, a
base do art. 7º, inc. V, seria aplicável. Por outro lado, o envio de e-mail
anunciando novos produtos na plataforma está fora do escopo contratual,
nesse caso.
• Exercício regular do direito (art. 7º, inc. VI): a finalidade das ações de
marketing está relacionada à promoção de atividades, produtos e/ou serviços
do agente de tratamento, o que, em primeiro momento, não permite a aplicação da
base legal de exercício regular do direito, diante da ausência de potencial
processo judicial, administrativo ou arbitral, que justifique o tratamento
de dados pessoais.
• Proteção do crédito (art. 7º, inc. X): essa base legal é exclusiva para o
tratamento de dados pessoais com a finalidade específica de proteção do
crédito, como o cadastro em órgãos de proteção do crédito e a análise prévia
para concessão de crédito. Considere a hipótese em que uma instituição
financeira decide realizar uma análise de histórico do correntista para
oferta de um novo cartão de crédito. Para essa análise, anterior à oferta,
pode ser aplicável a base legal de proteção do crédito. Para o envio de mensagem
da oferta de cartão de crédito, seja pelo aplicativo, seja por e-mail, por
exemplo, tem-se uma operação de marketing, fundamentada em outra base legal.
• Como mencionado, a LGPD estabelece um rol diverso de bases legais para o tratamento
Pag. 141
de dados pessoais. No caso do tratamento de dados em ações de marketing, podemos
considerar a possibilidade de aplicação da base legal do consentimento (art. 7º, inc.
I) e do legítimo interesse (art. 7º, inc. IX).
• A escolha entre essas bases legais irá depender das circunstâncias específicas da
atividade de tratamento, por exemplo, se o agente de tratamento confere aos
indivíduos poder de escolha (consentimento) ou se assume os riscos e as
responsabilidades relativos à proteção dos interesses dos indivíduos (legítimo
interesse).
Falta pouco para atingir seus objetivos. Vamos praticar alguns conceitos?
Uma clínica de saúde decide enviar e-mails para os pacientes sobre os sintomas
do vírus da COVID-19, orientações sobre medidas de proteção e indicação dos
exames de detecção disponíveis na clínica, inclusive, informando os valores
correspondentes. Nesse caso, a base legal para o tratamento dos dados pessoais
dos pacientes será a proteção da vida (art. 7º, inc. VII).
Vimos quais são as bases legais aplicáveis ao tratamento de dados pessoais em ações
de marketing. Veremos, a seguir, o consentimento vs legítimo interesse em marketing.
Pag. 142
Vamos verificar qual é a diferença e como funciona o consentimento e o legítimo
interesse?
Marketing e consentimento
Consentimento: manifestação livre, informada e inequívoca pela qual o titular
concorda com o tratamento de seus dados pessoais para uma finalidade
determinada.
Ao eleger a base legal do consentimento, o agente de tratamento deve estar ciente
dos seguintes ônus associados:
• O consentimento coletado por escrito deve estar em cláusula destacada das demais
(art. 8º, §1º);
• Cabe ao controlador o ônus da prova de que o consentimento foi obtido em
conformidade com a LGPD (art. 8º, §2º);
• O controlador deve coletar novo consentimento para comunicar ou compartilhar dados
pessoais com outros agentes de tratamento (art. 7º, §5º);
• Direito de revogação do consentimento por procedimento gratuito e facilitado (art.
8º, §5º) .
Recomenda-se que a base legal do consentimento seja adotada apenas se o agente de
tratamento estiver disposto a conferir maior poder de controle aos titulares de dados
pessoais e atender às exigências legais decorrentes do consentimento. De forma geral,
trata-se, portanto, de uma escolha entre custos e benefícios para os interesses da
organização.
Nas hipóteses em que a ação de marketing envolver o tratamento de dados pessoais
sensíveis, entretanto, será necessária a coleta do consentimento (art. 11, inc. I),
já que a base legal do legítimo interesse não é aplicável para o tratamento de dados
Pag. 143
pessoais sensíveis.
Pag. 144
pessoais. Costuma-se considerar, por exemplo, que o usuário-médio de um aplicativo de
banco possa esperar razoavelmente que a instituição financeira trate seus dados
financeiros para fornecer novos produtos ou serviços. Essa expectativa pode cair,
entretanto, se o banco realiza o tratamento de dados relacionados à cor do usuário
para determinar a oferta dos serviços.
• O potencial incômodo relacionado ao envio de mensagens de marketing indesejadas.
Apresentar uma opção de retirada (opt-out) para o titular pode ajudar a diminuir o
incômodo.
• Os potenciais efeitos da operação para indivíduos vulneráveis, como idosos e
crianças, por exemplo.
• Se é possível conceder parâmetros mínimos de transparência à operação de
tratamento, com informações claras e acessíveis na Política de Privacidade. Esse
ponto é fundamental para a diminuição da assimetria informacional entre o titular do
dado e o controlador.
• Além do Teste de Legítimo Interesse, recomenda-se a elaboração de um relatório de
impacto à proteção de dados pessoais (RIPD), visto que a LGPD prevê, expressamente,
que o documento poderá ser solicitado pela ANPD quando o tratamento de dados pessoais
tiver fundamento no legítimo interesse (art. 10, §3º).
Pag. 145
Falta pouco para atingir seus objetivos. Vamos praticar alguns conceitos?
Uma empresa de eventos decide enviar novidades sobre os próximos shows e peças
de teatro, de acordo com o histórico de eventos dos seus clientes. Assim, se
um cliente demonstrar interesse em shows de músicos sertanejos, a plataforma
irá enviar um e-mail com os próximos eventos desse estilo. Nesse caso,
considerando o teste do legítimo interesse, essa base legal é adequada.
Pag. 146
Marketing direito sob o âmbito de aplicação do GDPR, PECR e DPA no Reino Unido
Data Protection Act (DPA) e Privacy and Electronic Communications Regulations (PECR)
• No Reino Unido, o DPA e a PECR estabeleceram regras específicas sobre o marketing
direto. Sendo assim, essas normas devem ser observadas, em conjunto com o GDPR, no
tratamento de dados pessoais para finalidades de marketing direto.
• Segundo o DPA, marketing direto é a comunicação de qualquer tipo de publicidade ou
material de marketing direcionada a indivíduos em particular. Essa definição abrange
qualquer tipo de material de marketing, não apenas de caráter comercial, o que pode
incluir materiais enviados por organizações sem fins lucrativos.
PECR e Consentimento
A PECR dispõe o consentimento como elemento central para autorização das ações de
marketing direto. A seguir, algumas situações em que a PECR exige o consentimento:
• Ligações telefônicas para números cadastrados nos serviços de preferência
(Telephone Preference Service - TPS);
• Ligações telefônicas para indivíduos que rejeitaram as ligações;
• Ligações telefônicas automáticas;
• Envio de e-mails e notificações para indivíduos sem uma relação prévia com a
organização (soft opt-in) ou que tenham optado por não receber mensagens.
Conforme as orientações do Information Commissioner’s Office (ICO), nas hipóteses em
que a PECR não exige o consentimento, a base legal do legítimo interesse pode ser
aplicável.
Além disso, o ICO recomenda a manutenção dos registros do consentimento e de
documentação que justifique o legítimo interesse, quando aplicável.
Falta pouco para atingir seus objetivos. Vamos praticar alguns conceitos?
Uma rede de e-commerce, que possui atuação no Reino Unido, decide enviar
e-mail marketing para todos os usuários que acessam o site, independentemente
de cadastro. Considerando as normas do PECR, a operação está adequada.
Falamos sobre Data Protection Act (DPA) e Privacy and Electronic Communications
Regulations (PECR). Veremos, na sequência, o direito de oposição na LGPD e na GDPR.
Pag. 148
Direito de Oposição e análise comparativa entre a LGPD e o GDPR
Pag. 149
de marketing direto. Assim, o controlador deverá respeitar a preferência do titular
quanto ao não recebimento de mensagens de marketing.
• Ainda que a LGPD não preveja o direito absoluto de oposição em hipóteses de
tratamento de marketing direto, considera-se uma boa prática fornecer a possibilidade
de recusa no recebimento de mensagens.
Pag. 150
Falta pouco para atingir seus objetivos. Vamos praticar alguns conceitos?
Pedro possui plano de telefonia móvel com a operadora Ligue Mais, entretanto,
decide mudar de operadora. Após a realização da portabilidade, Pedro continua
recebendo SMS e ligações de telemarketing da sua antiga operadora, mesmo após
solicitar a interrupção das mensagens. Nesse caso, a referida operação de
marketing direto da Ligue Mais está em desacordo com a LGPD.
Pag. 151
Aspectos jurídicos de negócios digitais
Modificada em 1979.
Pag. 152
Panorama normativo (Constituição)
• Função social da propriedade:
Art. 5º. [...] XXIII - a propriedade atenderá a sua função social;
• Direitos autorais:
Art. 5º [...] XXVII - aos autores pertence o direito exclusivo de utilização,
publicação ou reprodução de suas obras, transmissível aos herdeiros pelo tempo que a
lei fixar;
XXVIII - são assegurados, nos termos da lei:
a) a proteção às participações individuais em obras coletivas e à reprodução da
imagem e voz humanas, inclusive nas atividades desportivas;
b) o direito de fiscalização do aproveitamento econômico das obras que criarem ou de
que participarem aos criadores, aos intérpretes e às respectivas representações
sindicais e associativas.
• Propriedade Industrial:
Art. 5º. [...] XXIX - a lei assegurará aos autores de inventos industriais privilégio
temporário para sua utilização, bem como proteção às criações industriais, à
propriedade das marcas, aos nomes de empresas e a outros signos distintivos, tendo em
vista o interesse social e o desenvolvimento tecnológico e econômico do País;
Leis Importantes:
• Lei da Propriedade Industrial – Lei n° 9.279/96 (LPI).
• Lei de Direitos Autorais – Lei 9.610/98 (LDA).
• Lei de Software – Lei 9.609/98.
• Lei de Cultivares - Lei 9.456/97.
• Lei de Topografia de Circuitos Integrados - LEI Nº 11.484/2007.
Pag. 153
Falta pouco para atingir seus objetivos. Vamos praticar alguns conceitos?
Atuação e desdobramentos
Um profissional que atua com propriedade intelectual possui amplo espectro de
serviços que pode oferecer.
De maneira geral, é possível dividir os direitos ligados à propriedade intelectual
em:
• Direitos autorais e conexos;
• Direitos de propriedade industrial;
Pag. 154
• Direitos sui generis.
Pag. 155
Falta pouco para atingir seus objetivos. Vamos praticar alguns conceitos?
Introdução
• “Programa de Computador”: é o conjunto organizado de instruções, em linguagem
natural ou codificada, contida em suporte físico de qualquer natureza, de emprego
necessário em máquinas automáticas de tratamento da informação, dispositivos,
instrumentos ou equipamentos periféricos, baseados em técnica digital ou análoga,
para fazê-los funcionar de modo e para fins determinados.
• O regime de proteção à propriedade intelectual de programa de computador é o mesmo
Pag. 156
conferido a obras literárias, ressalvado o direito moral de autoria. Contudo, é
assegurada a reivindicação de “paternidade” do programa e oposição a alterações não
autorizadas.
Da transferência
Quando houver transferência da tecnologia de programa de computador, deve ser feito
registro no Instituto Nacional da Propriedade Industrial (INPI), sob pena de não
produzir efeitos contra terceiros, ou seja, a transferência é válida sem registro,
mas não produz efeitos erga omnes.
O que deve ser entregue para a realização do registro?
• Documentação completa.
• Código-fonte comentado.
• Memorial descritivo.
• Especificações funcionais internas.
• Diagramas.
• Fluxogramas.
• Demais dados técnicos.
Pag. 157
Falta pouco para atingir seus objetivos. Vamos praticar alguns conceitos?
Para fins legais, a sua elaboração pode ser substituída por apresentação de
documento fiscal adequado.
Não produz quaisquer tipos de efeitos jurídicos, salvo quando houver registro
no órgão competente.
Introdução
• Nos últimos anos, o conhecimento e a tecnologia têm se transformado com velocidade
inédita e cada vez maior, de tal forma que o conhecimento passa a ter valor ainda
mais alto do que antes. Além disso, as transformações dificilmente vêm da mesma fonte
e podem ser concentradas por pessoas ou companhias, ainda que estejam realmente
Pag. 158
interessadas.
• O contrato de know-how permite que determinada empresa que não tenha tempo ou
recursos para criar tecnologia própria transfira seu know-how/expertise para que seja
feito desenvolvimento alheio.
Exemplos de contratos de transferência de know-how
• Contrato de licença de direitos
O titular de uma patente ou registro autoriza o uso e a fruição dos direitos de
propriedade, de forma gratuita ou onerosa. É uma “locação” ou “comodato” de direitos.
• Contrato de franchising/franquia
É o acordo entre o detentor de determinada propriedade industrial e um interessado em
obter a permissão para produzir ou comercializar produtos e marcas consolidados no
mercado.
Pag. 159
Falta pouco para atingir seus objetivos. Vamos praticar alguns conceitos?
Conhecemos alguns cases de sucesso, como Boticário, Cacau Show, entre outros. Na
próxima videoaula, iremos falar sobre o contrato de licença para a exploração de
patente. Você não pode perder. Vamos em mais essa!
Introdução
• O titular de patente ou o depositante poderá celebrar contrato de licença para
exploração (art. 61 da Lei 9.279/1996).
• Nesse caso, aquele que possui a propriedade da patente não a transfere para
terceiro, mas concede o direito de uso para o licenciado.
Pag. 160
• O contrato de licença somente produzirá efeitos em relação a terceiros se for
registrado no INPI.
Aperfeiçoamento de patente
• Toda patente pode ser aperfeiçoada, por avanço do conhecimento, por validação de
uso, mudanças tecnológicas e outros pontos relevantes.
• Nada obstante a patente pertença ao titular, o aperfeiçoamento pertencerá a quem o
houver criado.
• Contudo, quem houver criado o aperfeiçoamento deverá assegurar o direito de
preferência para o outro contratante, seja ele licenciado ou licenciante.
Falta pouco para atingir seus objetivos. Vamos praticar alguns conceitos?
Pag. 161
videoaula, iremos abordar sobre a propriedade da marca e como é o seu uso no
território nacional. Vamos nessa!
Introdução
• O titular de registro ou o depositante de pedido de registro poderá celebrar
contrato de licença para uso da marca, sem prejuízo de seu direito de exercer
controle efetivo sobre as especificações, natureza e qualidade dos respectivos
produtos ou serviços.
• Para produzir efeitos em relação a terceiros, o contrato de licença deve ser
averbado no INPI.
Considerações sobre marcas
• A propriedade da marca é adquirida pela expedição de registro válido, assegurando
ao titular o uso exclusivo em território nacional.
• O registro da marca vigora pelo prazo de 10 anos, contados da data de concessão do
registro.
• O prazo é prorrogável por períodos iguais e sucessivos.
Pag. 162
A marca caduca a requerimento de quem tenha o legítimo interesse se, após 5 anos da
concessão:
• O uso da marca não teve início no país.
• O uso da marca tenha sido interrompido por mais de 5 (cinco) anos consecutivos, ou
se, no mesmo prazo, a marca tiver sido usada com modificação que implique alteração
de seu caráter distintivo original, tal como constante do certificado de registro.
Falta pouco para atingir seus objetivos. Vamos praticar alguns conceitos?
O registro da marca caduca quando requerido por pessoa com legítimo interesse
e o uso não houver sido iniciado no Brasil por 5 anos.
O registro da marca pode se extinguir por renúncia, mas deve ser total.
Pag. 163
Aspectos jurídicos de negócios digitais
Blockchain
Blockchain
• “Blockchainé um livro-razão compartilhado e imutável que facilita o processo de
registro de transações e o rastreamento de ativos em uma rede. Umativopode
ser tangível (uma casa, um carro, dinheiro, terras) ou intangível (propriedade
intelectual, patentes, direitos autorais e criação de marcas).
Praticamente qualquer item de valor pode ser rastreado e negociado em
uma rede de blockchain, o que reduz os riscos e os custos para todos os
envolvidos.”
• Esse sistema permite o funcionamento e a transação das chamadas criptomoedas, ou
moedas digitais.
Pag. 164
• Surgimento: o conceito de blockchain surgiu pela primeira vez em 2008, no artigo
publicado por Satoshi Nakamoto: “Bitcoin: um sistema financeiro eletrônico
peer-to-peer”.
• Blockchain ≠ Bitcoin: a tecnologia do blockchain surgiu para que o bitcoin pudesse
existir, mas as possibilidades de uso vão muito além das criptomoedas.
• Áreas promissoras de aplicação: sistema financeiro, sistema de saúde, pesquisas
científicas, entre outras.
Vantagens da rede de blocos criptografados: (a) segurança, (b) rapidez; (c) menor custo de transferência; (d)
Pag. 165
Fonte: Estadão. Acesso:
https://einvestidor.estadao.com.br/criptomoedas/blockchain-governo-oficializa-uso-para-documentos#:~:text=Sistema%20ser%
C3%A1%20usado%20para%20certificar,uma%20data%20e%20hora%20espec%C3%ADfica&text=O%20governo%20brasileiro%20oficializo
u%20na,blockchain%20para%20certificado%20em%20documentos
Falta pouco para atingir seus objetivos. Vamos praticar alguns conceitos?
O conceito de blockchain pode ser definido como uma cadeia de blocos onde cada
um contém um arquivo e um hash, o que garante que as informações desse bloco
de dados não foram violadas. Todo bloco criado contém a sua hash e a do bloco
anterior, criando uma conexão entre os blocos.
Pag. 166
Vimos o conceito e como funciona o blockchain. Que tal conhecermos um pouco sobre os
contratos inteligentes, ou smart contracts? Vamos nessa!
Smart contracts
lockchain-simplilearn
Pag. 167
Contrato inteligente (Smart contract)
lockchain-simplilearn
lockchain-simplilearn
Smart contracts
Vantagens dos smart contracts:
Pag. 168
a) Inviolabilidade e segurança jurídica dos contratos inteligentes.
b) Contrato autoexecutável.
c) Monitoramento de forma automática.
d) Redução de custos para reduzir a dependência de terceiros.
e) Maior agilidade.
f) Menor possibilidade de erros.
Desafios dos smart contracts:
a) Não há legislação específica brasileira.
b) Conhecimento técnico + jurídico para desenvolvimento.
c) Falhas de código na elaboração = erros de execução.
Falta pouco para atingir seus objetivos. Vamos praticar alguns conceitos?
Entre as vantagens dos smart contracts, podemos citar a redução de custos por
reduzir a dependência de terceiros, a maior agilidade e a menor possibilidade
de erros.
Vimos que o contrato inteligente, ou smart contract, é uma ferramenta tecnológica que
permite a criação de contratos autoexecutáveis, levando esse processo para um outro
nível de segurança. Vamos, na sequência, abordar sobre os criptoativos, seu conceito
e aspectos regulatórios. Vamos em mais essa etapa de nosso aprendizado?
Pag. 169
Criptoativos – conceito e aspectos regulatórios
Conceito de criptoativos
• De acordo com a IN nº 1.888/2019 da Receita Federal, criptoativos são “a
representação digital de valor denominada em sua própria unidade de
conta, cujo preço pode ser expresso em moeda soberana local ou estrangeira,
transacionado eletronicamente com a utilização de criptografia e de
tecnologias de registros públicos distribuídos, que pode ser utilizado
como forma de investimento, instrumento de transferência de valores ou acesso a
serviços, e que não constitui moeda de curso legal” (art. 5º, inc. I).
• Os criptoativos surgiram com a intenção de permitir que indivíduos ou empresas
efetuem pagamentos ou transferências eletrônicas diretamente a outros indivíduos ou
empresas, sem a necessidade de intermediação de uma instituição financeira.
• O funcionamento dos criptoativos se baseia em uma tecnologia de registro
descentralizado, mais conhecida como blockchain.
• Destaca-se que os criptoativos não se confundem com as chamadas moedas eletrônicas,
previstas na legislação brasileira, que são recursos, em reais (R$), mantidos em meio
eletrônico em uma dada instituição financeira e que podem ser utilizados como meios
de pagamento.
Pag. 170
negociação ou custódia, e que pode aceitar quaisquer meios de pagamento, inclusive
outros criptoativos” (art. 5º, inc. II) .
• A IN define obrigações de prestação de informações direcionadas: (i) às exchanges
de criptoativos domiciliadas no brasil; e (ii) à pessoa física ou jurídica,
domiciliada ou residente no Brasil, quando o valor mensal das operações ultrapasse R$
30.000,00 nas operações realizadas em exchange domiciliada no exterior ou nas
operações que não forem realizadas em exchanges.
• As informações que deverão ser prestadas são: data da operação; tipo da operação;
titulares da operação; criptoativos usados na operação; quantidade de criptoativos
negociados; valor da operação, em reais; valor das taxas de serviços cobradas, em
reais; endereço da wallet de remessa e de recebimento, se houver.
• Nas operações realizadas por pessoas físicas e jurídicas domiciliadas no Brasil,
com exchanges domiciliadas no exterior, a parte deverá prestar as mesmas informações
acima relacionadas, além de identificar a exchange utilizada.
PL n. 3.825/2019
Em fevereiro de 2022, a Comissão de Assuntos Econômicos (CAE) do Senado Federal
aprovou o PL n. 3.825/2019, que regulamenta as operações de criptoativos no Brasil.
Como principais pontos do PL, destacam-se, obrigatoriedade, que prestadoras de
serviços virtuais devem comunicar operações suspeitas de lavagem de dinheiro para o
Conselho de Controle de Atividades Financeiras (COAF) e retirar da responsabilidade
da CVM de supervisão do mercado de criptoativos, com exceção para oferta pública de
Pag. 171
criptos para captação de recursos no mercado financeiro.
Além disso, o projeto prevê algumas diretrizes, como:
• Promoção da livre iniciativa e da concorrência;
• Reforço do controle e alocação de recursos do cliente;
• Boas práticas de gestão de riscos;
• Garantia da segurança da informação e da proteção de dados pessoais;
• Defesa dos consumidores e da economia popular;
• Garantia da confiabilidade e eficiência das operações.
O texto estipula, ainda, que o Poder Executivo deve criar normas alinhadas aos
padrões internacionais para prevenir a lavagem de dinheiro e a ocultação de bens,
assim como combater atuação de organizações criminosas, o financiamento do terrorismo
e da produção e comércio de armas de destruição em massa. Pelo texto, cabe aos órgãos
indicados pelo Poder Executivo autorizar o funcionamento das corretoras e definir
quais serão os ativos regulados.
Falta pouco para atingir seus objetivos. Vamos praticar alguns conceitos?
Pag. 172
Organização Autônoma Descentralizada
DAO e Criptoativos
A tecnologia das criptomoedas é
fundamental para compreender o que é DAO,
pois esta garante seu funcionamento
distribuído e autônomo.
Abaixo, seguem alguns elementos do
funcionamento de uma DAO:
• A tecnologia blockchain armazena e Fonte: istockphoto.com/br
Exemplos de aplicação
• Maker DAO: plataforma que concede empréstimos em dólar para usuários que depositam
determinadas criptomoeadas. O usuário recebe o empréstimo em troca do depósito de
garantia, sistema estabilizado automaticamente. Os usuários detentores do criptoativo
Maker podem votar nas decisões de taxas, criptomoedas aceitas e participar de
Pag. 173
leilões.
• MolochDAO: o objetivo dessa DAO é arrecadar fundos de forma descentralizada para
ajudar o ecossistema Ethereum. Os fundos arrecadados são destinados a projetos
diversos, de acordo com a votação dos participantes.
Falta pouco para atingir seus objetivos. Vamos praticar alguns conceitos?
Uma estrutura virtual que possui uma fonte de organização centralizada pode
ser considerada uma DAO.
As decisões de uma DAO são tomadas por votação entre os membros, em que o peso
dos votos é definido de acordo com a quantidade de tokens que cada
participante possui.
Conhecemos alguns exemplos de aplicação do DAO. Que tal agora entender a importância
do NFT. Venha entender um pouco mais sobre o Non Fungible Token.
Pag. 174
Definições relacionadas a NFT
NFT - Conceito
• Non / Fungible / Token
• Um NFT é um bem infungível, ou seja, é
um bem que não pode ser trocado por outro
da mesma espécie; um bem único, tal como
uma obra de arte ou um carro de
colecionador.
Fonte: istockphoto.com/br
NFT
• O NFT era um estranho na sociedade até bem pouco tempo, até que passou a tomar as
mídias, principalmente a partir da compra por grandes celebridades e empresários, que
gastavam milhões de dólares com imagens aparentemente simples.
• Por que o NFT vale tanto se é possível “printar” a figura e usá-la ou mesmo gravar
uma música e escutá-la (basta ver que as próprias reportagens a reproduzem)?
• O valor está no fato de um NFT ser único (non tangilble ou intangível), o que
decorre da utilização de tokens criptográficos e do uso da tecnologia de blockchain.
Alguns usos para o NFT
• O NFT é utilizado em várias áreas do mercado e seus criadores prometem a ampliação
do uso.
Veja alguns exemplos:
• Arte
• Jogos
Pag. 175
• Música
• Esportes
Falta pouco para atingir seus objetivos. Vamos praticar alguns conceitos?
NFT é um bem.
Caso Tarantino
O diretor Quentin Tarantino anunciou o leilão de sete NFTs relacionadas ao clássico
“Pulp Fiction”. Ocorre que o diretor não seria o titular dos direitos autorais, mas,
sim, o Estúdio Miramax, gigante do cinema. De um lado, Tarantino alega que possui
direito de publicação, o que incluiria os NFTs, enquanto a Miramax afirma que os
Pag. 176
direitos de Tarantino não abrangem novas formas de venda e distribuição.
O caso revela dois pontos interessantes:
• A relevância do tema, que atrai interesses de grandes players.
• O imenso rol de discussões que podem advir dos NFTs, inclusive no tocante à
propriedade intelectual.
Metaverso
• De forma sintética, o metaverso é um ambiente virtual composto por elementos 3D que
se assemelham à realidade. Além disso, pode ser acessado por meio da utilização de
equipamentos sofisticados, como óculos e fones de ouvido que se conectem com a
realidade virtual.
• O objetivo dos criadores é utilizar o metaverso como um novo universo, onde a forma
principal de pagamento seja em criptoativos e os principais bens de negociação sejam
os chamados NFTs.
Terrenos e NFT
• Aproveitando a relação entre NFTs e o metaverso, tem se tornado comum a compra de
bens por algumas figuras. No metaverso, já foram vendidos os primeiros iates,
terrenos, escritórios e outros bens mais simples também chegam por lá, como roupas e
tênis, inclusive anunciados por grandes marcas, como a Nike.
• Por não se tratarem de bens palpáveis, nada mais são que NFTs, dotados de códigos
que garantem a exclusiva propriedade sobre determinado bem.
• O metaverso e os NFTs têm trazido questões como: tributação, partilha, sucessões,
obrigações, contratos, casamento e tantos outros que ainda se apresentarão.
Pag. 177
Falta pouco para atingir seus objetivos. Vamos praticar alguns conceitos?
O metaverso pode ser definido como um token não fungível que constitui as
NFTs.
Referências Bibliográficas
BARBOSA, Denis Borges. Contratos em propriedade intelectual. v. 22, p. 03-17, 2003.
Disponível em: http://www.denisbarbosa. addr.com.
BIONI, Bruno. Proteção de Dados Pessoais: A Função e os Limites do Consentimento. 3.
ed. Rio de Janeiro: Forense, 2021.
COTS, Marcio; OLIVEIRA, Ricardo. Lei Geral de Proteção de Dados Comentada. 3. ed. São
Paulo: Thomson Reuters, 2020.
DI PIERRO, Massimo. What is the blockchain?. Computing in Science & Engineering.
v. 19, n. 5, p. 92-95, 2017.
DONEDA, Danilo. Da privacidade à proteção de dados pessoais. São Paulo: Thomson
Reuters Brasil, 2019.
FRAZÃO, Ana; VILLAS BÔAS CUEVA, Ricardo. Compliance e políticas de proteção de dados.
São Paulo: Thomson Reuters Brasil, 2021.
ICO. Data protection impact assessments.
ICO. Sample DPIA Template.
Pag. 178
LAURIA, Ivna Olimpo; MOYSÉS, Aristides; DE CASTRO VIEIRA, Jeferson. Propriedade
Intelectual: proteção jurídica de contratos e royalties. Revista EVS-Revista de
Ciências Ambientais e Saúde, v. 40, n. 3, p. 299-309, 2013.
LEONARDI, Marcel. Legítimo Interesse. Revista do Advogado, v. 39, n. 144, nov. 2019,
pp. 67-73.
MALDONADO, Viviane Nóbrega; BLUM, Renato Opice. Lei Geral de Proteção de Dados
Comentada. 2. ed. São Paulo: Thomson Reuters, 2019.
MENDES, Laura Schertel; DONEDA, Danilo; SARLET, Ingo Wolfgang; RODRIGUES JR., Otavio
Luiz (Coords.). Tratado de Proteção de Dados Pessoais. Rio de Janeiro: Forense, 2021.
MOHANTA, B. K.; PANDA, S. S.; JENA, D. An Overview of Smart Contract and Use Cases in
Blockchain Technology. 2018. 9th International Conference on Computing, Communication
and Networking Technologies (ICCCNT), 2018, pp. 1-4, doi:
10.1109/ICCCNT.2018.8494045.
NOFER, Michael et al. Blockchain. Business & Information Systems Engineering, v.
59, n. 3, p. 183-187, 2017.
NORTA, A. (2015). Creation of Smart-Contracting Collaborations for Decentralized
Autonomous Organizations. In: Matulevičius, R., Dumas, M. (eds) Perspectives in
Business Informatics Research. BIR 2015. Lecture Notes in Business Information
Processing, vol 229. Springer, Cham. https://doi.org/10.1007/978-3-319-21915-8_1.
REGNER, Ferdinand et al. NFTs in Practice – Non-Fungible Tokens as Core Component of
a Blockchain-based Event Ticketing Application. Fortieth International Conference on
Information Systems, Munich, 2019.
RISIUS, Marten; SPOHRER, Kai. A blockchain research framework. Business &
information systems engineering, v. 59, n. 6, p. 385-409, 2017.
TEPEDINO, Gustavo; FRAZÃO, Ana; OLIVA, Milena Donato (Coords.). Lei Geral de Proteção
de Dados Pessoais e suas repercussões no Direito Brasileiro. 2. ed. São Paulo:
Thomson Reuters, 2020.
WANG, S.; DING, W.; LI, J.; YUAN, Y.; OUYANG, F.; WANG, F. Y. Decentralized
Autonomous Organizations: Concept, Model, and Applications. In: IEEE Transactions on
Computational Social Systems, v. 6, n. 5, pp. 870-878, Oct. 2019, doi:
10.1109/TCSS.2019.2938190.
ZHENG, Zibin et al. An overview on smart contracts: Challenges, advances and
platforms. Future Generation Computer Systems, v. 105, 2020, pp. 475-491, ISSN
0167-739X, https://doi.org/10.1016/j.future.2019.12.019.