Apostila LGPD

SUMÁRIO
Introdução 1
Objetivos 2
1 | Definição e fundamentos da LGPD 3
Short bio 3
Definição e objetivos da LGPD 4
Atividade 5
As hipóteses de incidência da LGPD nos termos do art. 3º 5
Atividade 7
Hipóteses sobre as quais não incide a Lei Geral de Proteção de Dados 7
Atividade 9
Fundamentos da Lei Geral de Proteção de Dados 9
Atividade 11
Atividade 12
Atividade 14
2 | Proteção de Dados Pessoais como direito fundamental 15
Conceito de privacidade e evolução do tema 15
Atividade 16
Proteção de dados pessoais, evolução da legislação europeia 17
Atividade 18
Legislação europeia de proteção de dados pessoais 18
Atividade 20
Considerações sobre o GDPR no Brasil 20
Atividade 22
O STF e a proteção de dados pessoais como direito fundamental 22
Atividade 24
Emenda constitucional e respectivas consequências 24
Atividade 25
3 | Conceitos básicos e princípios 26
Conceitos básicos: dados pessoais 26
Atividade 28
Conceitos básicos: agentes de tratamento, controlador, operador e controladoria 29
Atividade 30
Conceitos básicos: encarregado, ANPD e CNPD 31
Atividade 33
Conceitos básicos: anonimização, pseudonimização e incidentes envolvendo dados pessoais 33
Atividade 36
Princípios da LGPD 36
Atividade 38
Conceitos básicos - Princípios 38
Atividade 40
4 | Bases Legais 41
Bases legais previstas na LGPD, no GDPR e no debate sobre hierarquia 41
Atividade 43
Consentimento e cumprimento de obrigação legal 44
Atividade 47
Execução do contrato e exercício regular do direito 48
Atividade 50
Legítimo interesse e proteção do crédito 51
Atividade 53
Proteção da vida e tutela da saúde 54
Atividade 56
Execução de políticas públicas 57
Atividade 59
5 | Cultura de privacidade e proteção de dados 60
Revolução 4.0 60
Atividade 62
O papel da ANPD 62
Atividade 65
Acordos de cooperação técnica 66
Atividade 69
Fases iniciais do programa de adequação à LGPD 69
Atividade 71
Vantagens e desafios do programa de adequação 71
Atividade 73
Treinamento de resposta a incidentes 74
Atividade 75
6 | Documentos regulatórios, políticas e boas práticas 76
Mapeamento de dados pessoais e o ROPA 76
Atividade 78
Política de privacidade, termos e condições de uso 79
Atividade 81
Política de retenção, descarte e cronograma específico 81
Atividade 83
Política de segurança da informação e de resposta a incidentes 83
Atividade 86
Relatório de impacto à proteção de dados pessoais 86
Atividade 89
Boas práticas em proteção de dados pessoais 89
Atividade 92
7 | Direitos dos titulares 92
Direitos dos titulares previstos na LGPD e no GDPR 92
Atividade 94
Direito de confirmação da existência de tratamento 94
Atividade 96
Direito anonimização,portabilidade e eliminação de dados pessoais 96
Atividade 98
Direito a informações sobre compartilhamento 99
Atividade 100
Direito de oposição 101
Atividade 102
Guidelines sobre os direitos dos titulares e Fluxo de Petição na ANPD 102
Atividade 105
8 | O papel do encarregado pelo tratamento de dados pessoais 106
Previsão legal e conceito de encarregado 106
Atividade 107
Atribuições do encarregado 108
Atividade 109
Perfil e certificação do encarregado 110
Atividade 111
Hard skills e soft skills do encarregado 111
Atividade 113
Encarregado e conflitos de interesse 113
Atividade 114
Encarregado e agentes de tratamento de pequeno porte 115
Atividade 116
9 | Importância da adequação: responsabilização judicial, sanções administrativas, danos
reputacionais e due diligence 117
Responsabilidade civil dos agentes 117
Atividade 118
Responsabilização judicial 119
Atividade 123
ANPD e processo administrativo sancionador 124
Atividade 126
Sanções administrativas previstas na LGPD 127
Atividade 129
Parâmetros para aplicação das sanções e casos concretos 129
Atividade 132
Danos reputacionais e due diligence 132
Atividade 134
10 | Considerações sobre atividades de marketing diante da LGPD e do MCI: legítimo
interesse e direito de oposição 135
Bases legais para o tratamento de dados pessoais - MCI vs. LGPD 135
Atividade 137
Dados pessoais e atividades de marketing 137
Atividade 139
Bases legais no tratamento de dados em marketing 139
Atividade 142
Consentimento vs Legítimo interesse em marketing 143
Atividade 146
Marketing direito sob o âmbito de aplicação do GDPR, PECR e DPA no Reino Unido 147
Atividade 148
Direito de Oposição e análise comparativa entre a LGPD e o GDPR 149
Atividade 151
11 | Propriedade intelectual e contratos relacionados 152
Introdução à propriedade intelectual 152
Atividade 154
Amplitude do tema da propriedade intelectual 154
Atividade 156
Contrato de licença de uso, de comercialização e transferência de tecnologia 156
Atividade 158
Contratos de transferência de tecnologias e know-how 158
Atividade 160
Contrato de licença para exploração de patente 160
Atividade 161
Contratos de licença de uso de marca 162
Atividade 163
12 | Direito e Web 3.0: NFT, DAO, smart contracts, criptoativos e blockchain 164
Blockchain 164
Atividade 167
Smart contracts 167
Atividade 169
Criptoativos – conceito e aspectos regulatórios 170
Atividade 172
Organização Autônoma Descentralizada 173
Atividade 174
Definições relacionadas a NFT 175
Atividade 176
NFT e questões práticas 176
Atividade 178
LGPD e Gestão de
Riscos
Aspectos iniciais da LGPD

Definição e Proteção de Dados Conceitos básicos e Bases legais
fundamentos Pessoais como princípios Identificar as bases legais
da LGPD direito Reconhecer as principais previstas pela LGPD e GDPR é o
Construir a confiança na utilização fundamental abordagens, conceitos básicos e os primeiro passo para lidar com as
responsável e ética de dados é de Conhecer a história de como surgiu princípios necessários para o rigorosas exigências da
extrema importância para o sucesso a Lei Geral de Proteção de Dados e alinhamento à Lei Geral de Proteção regulamentação da LGPD.
de seus empreendimentos. A LGPD o objetivo pelo qual foi necessária de Dados irá evitar prejuízos para
estabeleceu condições nas quais os sua criação é o que este módulo você e para os seus negócios.
dados pessoais devem ser tratados. propõe.
Saiba quais são as orientações e os
cuidados necessários no tratamento
de dados pessoais.
Pag. 1
Adequação à Lei Geral de Proteção de Dados
Cultura de Privacidade Documentos Direitos dos Titulares O papel do encarregado
e Proteção de Dados regulatórios, Entender quais os dados pessoais de pelo tratamento de
Identificar as vantagens e os políticas e terceiros manter e quais não, dados pessoais
desafios impostos pelo programa de boas práticas identificar os direitos Quem é o responsável no tratamento
adequação à LGPD e conhecer os Entender a importância dos normatizados pela LGPD no de dados pessoais? E quais são os
acordos de cooperação e guias da mecanismos, ferramentas e técnicas tratamento de dados pessoais. São possíveis conflitos de interesses
ANPD permitirá às empresas disponíveis, que têm por objetivo soluções simples que você deve dessa função? Essa e outras
brasileiras a tratar com os riscos aumentar a confiança do usuário com conhecer e aplicar em seu questões são levantadas a todo
e os desafios impostos pela LGPD. possibilidades de gerar ganhos empreendimento. momento e iremos responder a essa e
reputacionais, serão alguns pontos outras questões relevantes sobre o
abordados. encarregado pelo tratamento de
dados pessoais.
Aspectos jurídicos de negócios digitais

Importância da Considerações sobre Propriedade Direito e Web 3.0:
adequação: atividades intelectual NFT, DAO, smart
responsabilização de marketing diante e contratos contracts,
judicial, da LGPD e do MCI: relacionados criptoativos
sanções legítimo Você saberia trabalhar com os e blockchain
administrativas, interesse e aspectos jurídicos relacionados à Identificar quais são os impactos
danos direito de propriedade intelectual? Quais os das novas tecnologias na LGPD e
reputacionais oposição tipos de contratos de transferência entender quais os benefícios e as
e due diligence Conhecer o ordenamento jurídico no de know-how e a licença de uso de facilidades que os meios digitais
Reconhecer a importância da que se refere ao tratamento de marca? Saiba como esse conhecimento proporcionam para o seu
adequação; quais são as sanções dados pessoais, inclusive nos meios poderá ajudá-lo(a)! empreendimento.
administrativas e como funciona a digitais, tornou-se indispensável
reparação de danos reputacionais é para as estratégias de marketing na
a proposta deste módulo, um utilização de dados pessoais.
conhecimento que não pode faltar!
Evitando, assim, as consequências
negativas da não adequação à LGPD.
Pag. 2
1 | Definição e fundamentos da LGPD

Prof. Autor Daniel Becker
Ao final deste módulo, você deverá ser capaz de:
• Definir os objetivos da Lei Geral de Proteção de Dados.
• Conhecer como os dados pessoais são tratados no território nacional.
• Reconhecer quando a LGPD não poderá ser aplicada.
• Identificar os fundamentos da LGPD.
Short bio
Conhecemos um pouco sobre o professor Daniel Becker.

Iniciaremos os nossos estudos sobre as definições e os fundamentos da Lei Geral de
Proteção de Dados - LGPD Lei nº 13.709/2018, que tem como objetivo a proteção dos
direitos fundamentais de liberdade, de privacidade e do livre desenvolvimento da
personalidade da pessoa natural.
Pag. 3
Definição e objetivos da LGPD
Lei Geral de Proteção de Dados (LGPD)

É a lei que dispõe sobre o tratamento de dados pessoais.
Aplica-se a meios físicos e digitais.
Possui três principais objetivos:
• Proteção da privacidade.
• Proteção da liberdade.
• Proteção do livre desenvolvimento da personalidade da pessoa natural.
Normas gerais de interesse nacional

A LGPD é considerada norma de interesse nacional.
Lei Nacional x Lei Federal:
• A Lei Nacional se aplica a todo o território nacional e vincula a União, Estados,
Distrito Federal e Municípios.
• A Lei Federal é a norma que se aplica apenas à União, como a Lei n.º 8.112/90.
Portanto, a LGPD se aplica a todos os entes federados.
Aprovação e entrada em vigor

A Lei Geral de Proteção de Dados (LGPD) teve sua publicação em agosto de 2018,
entrando em vigor somente em setembro de 2020. As sanções administrativas começaram a
ser aplicadas três anos depois de sua publicação em agosto de 2021.
Cuidado! É muito comum pensar que a LGPD passou a vigorar apenas em agosto de 2021,
quando começaram a valer as sanções administrativas.
Porém, o pensamento está errado e a lei já era bastante utilizada em centenas de
Pag. 4
ações judiciais e canais como Reclame Aqui, Consumidor.gov e semelhantes, desde
setembro de 2020.
Falta pouco para atingir seus objetivos. Vamos praticar alguns conceitos?
Acerca da Lei Geral de Proteção de Dados, assinale a alternativa correta:
Os dispositivos legais passaram a vigorar apenas em agosto de 2021, já que,

anteriormente, não era possível a aplicação de sanções de qualquer espécie.
A União detém competência para estabelecer normas gerais, que serão aplicáveis
até que sobrevenha norma específica de cada ente federado.
A União legislou norma de interesse nacional aplicável a todos os entes

federados.
Desde setembro de 2020, já havia aplicação da LGPD, inclusive quanto às

sanções administrativas previstas.
Vimos sobre a definição, os objetivos e a amplitude da Lei Geral de Proteção de

Dados. Na sequência, veremos como é realizada a operação de tratamento de dados
pessoais em território nacional.
As hipóteses de incidência da LGPD nos termos do art. 3º
Operação de tratamento de dados pessoais realizada em território nacional
Pag. 5
Trata-se da hipótese mais intuitiva. Segundo o art. 3º, I da LGPD, os dispositivos
legais se aplicarão toda vez que o tratamento de dados pessoais ocorrer em território
nacional.
O principal ponto considerado é o espaço físico.
Exemplos concretos:
• Instituição financeira que coleta dados pessoais de titulares para avaliar a
viabilidade de concessão de crédito;
• Padaria de bairro que coleta dados do consumidor para expedir nota fiscal;
• Advogado liberal que trata dados de clientes para a elaboração de defesa em
processo judicial;
• Empresa B2B sediada no Brasil que trata dados dos colaboradores para cumprimento de
obrigações tributárias.
Tratamento com objetivo de oferecer bens e serviços ou tratamento de indivíduos

localizados no território nacional
Aqui, o importante é onde se localiza o titular de dados pessoais, independentemente
de quem realiza a operação de tratamento.
É caso de aplicação extraterritorial da LGPD.
Exemplos concretos:
• Empresa francesa que disponibiliza dados pessoais de brasileiros para consultas
específicas.
• Empresa de tecnologia que trata dados pessoais de brasileiros para a criação
legítima de perfis, com o objetivo de personalizar publicidade.
• Vendedor autônomo, residente e domiciliado na Índia, que opera pequena loja virtual
para vender produtos alimentícios para brasileiros.
Dados pessoais coletados em território nacional

De certa forma, essa última possibilidade é abrangida pela primeira, já que a coleta
também é uma operação de tratamento de dados pessoais.
Neste ponto, não importa a localização de quem realiza a operação ou o ponto onde se
fixa o titular, mas a sua localização exclusivamente no momento da coleta.
Exemplos concretos:
• Uma empresa sueca que coleta dados de um morador da Colômbia enquanto este passava
férias em Natal – RN (Brasil), ainda que posteriormente retorne para o seu país de
Pag. 6
origem.
Assinale a alternativa incorreta:
A LGPD se aplica a todas as operações de tratamento de dados pessoais

desenvolvidas em território nacional.
A LGPD se aplica a tratamento de dados pessoais ocorridos em meios físicos e

digitais.
A LGPD, em regra, se aplica a tratamento de dados pessoais realizado por

pessoa natural ou jurídica.
A LGPD somente se aplica a agentes de tratamento sediados em território

nacional.
Vimos como é realizado o tratamento dos dados pessoais no território nacional e, em

seguida, iremos saber em quais hipóteses a LGPD não é aplicada.
Hipóteses sobre as quais não incide a Lei Geral de Proteção de Dados
Quando a LGPD não se aplica?

Tratamento de dados pessoais por pessoa natural, com finalidade exclusivamente
particular e não econômica.
Pag. 7
É obrigatório o cumprimento dos critérios cumulativos:
• Agente de Tratamento ser pessoa natural;
• Possuir interesse particular e não econômico.
Assim, a LGPD se aplica a médico liberal que trata dados de pacientes (já que o
interesse não é particular), bem como a entidades beneficentes que tratam dados sem
finalidade econômica (já que não são pessoas naturais).
Exemplo concreto:
• Noivos que tratam nome, e-mail e telefone de convidados para lista de casamento
(obs: salão de festas, sites com listas de presentes e afins são agentes de
tratamento, já que a finalidade não é particular e, frequentemente, não são pessoas
naturais).
Fins exclusivamente jornalísticos e artísticos.

Fins exclusivamente acadêmicos, salvo aplicação dos arts. 7º e 11.
Exemplos concretos:
• Nomes de pessoas envolvidas em matérias jornalísticas (ex. autores e vítimas de
crimes, celebridades, advogados etc.).
• Dados de autoridades ou celebridades na realização de peças e/ou filmes
biográficos.
• Dados de entrevistados em pesquisa acadêmica, ressalvada a necessidade de atribuir
base legal, que será tema de módulos futuros.
Fins exclusivos de: (i) segurança pública; (ii) defesa nacional; (iii) segurança do
Estado; (iv) investigação e repressão de infrações penais.
As peculiaridades das atividades impõem tratamento diferenciado para os temas
listados.
Tramita no Congresso um anteprojeto apelidado de “LGPD Penal”.
Exemplo concreto:
• Dados sigilosos contidos em investigações penais, que não poderiam se submeter ao
dever de transparência contido na LGPD, por exemplo.
Pag. 8
Selecione a alternativa sobre a qual incide a LGPD:
Lista de aniversário de amigos do colégio de Júlia para controle de entrada e

saída do seu condomínio.
Veículo de comunicação que realiza matérias jornalísticas e que trata dados de

colaboradores para gestão da folha de pagamento.
Órgão público que trata dados de testemunhas arroladas para depoimento em

investigação criminal.
Realização de questionários estruturados para comprovação de hipótese

acadêmico-científica por renomada instituição de ensino.
Verificamos que a LGPD não se aplica aos dados pessoais que tenham a finalidade
exclusivamente particular e não econômica, dentre outros fins. Veremos, na próxima
videoaula, os fundamentos da Lei Geral de Proteção de Dados.
Fundamentos da Lei Geral de Proteção de Dados

Direito à Privacidade
É inviolável a vida privada, nos termos do art. 5º, X da CRFB.
Inicialmente, era um direito negativo e abrangia o direito de ser deixado só; direito
a não intromissão do Estado e de terceiros na vida privada.
Pag. 9
Atualmente, é visto também como direito que importa à coletividade, na medida em que
é utilizado para modelar negócios e política, por exemplo. Da privacidade deriva o
direito à proteção de dados pessoais.
Autodeterminação Informativa
Aumenta o controle pessoal sobre o fluxo dos próprios dados pessoais.
Deve estar presente, sobretudo nas ocasiões em que houver possibilidade de escolha
para o titular.
Liberdade de Expressão, de Informação, de Comunicação e de Opinião
Sobretudo no ambiente virtual, o tema das liberdades de expressão, informação,
comunicação e opinião gera preocupações legítimas ao legislador.
Assim, é comum reparar que normas que tratam de novas tecnologias se preocupam em
assegurar o equilíbrio, como o presente, entre liberdade de expressão e proteção de
dados pessoais.
Desenvolvimento econômico e tecnológico e inovação

É comum observar, na prática, tentativas de travar o desenvolvimento econômico e
tecnológico e a inovação com o uso equivocado das disposições da LGPD.
Contudo, a própria lei protegeu tais direitos constitucionalmente garantidos. Assim,
a LGPD é antes uma aliada do desenvolvimento que opositora.
Neste ponto, é importante ressaltar que parte relevante da iniciativa privada tinha
anseio pela LGPD, que traz segurança jurídica frente a outros ordenamentos
relevantes, como o europeu.
Livre iniciativa e livre concorrência
A LGPD se preocupou em proteger expressamente as liberdades fundamentais para o
desenvolvimento mencionado no tópico anterior.
Pag. 10
De acordo com a previsão trazida pela Lei Geral de Proteção de Dados, assinale
a alternativa correta:
Não existe hierarquia entre os fundamentos apresentados pela LGPD.
O direito à privacidade prepondera sobre a livre concorrência.
O desenvolvimento tecnológico não prevalece quando em conflito com a

autodeterminação informativa.
Os fundamentos apresentados pela LGPD são ordenados por hierarquia entre os

direitos.
Vimos os fundamentos da Lei Geral de Proteção de Dados, como o direito à privacidade,

Autodeterminação Informativa e a Liberdade de Expressão, de Informação, de
Comunicação e de Opinião. Observamos a tentativa de travar o desenvolvimento
econômico, tecnológico e de inovação com o uso muitas vezes equivocado das
disposições da LGPD.

Defesa do Consumidor
Um dos fundamentos relevantes da LGPD é a defesa do consumidor, já que o tratamento
de dados pessoais é realizado frequentemente em relações de consumo e modelagem de
Pag. 11
negócios.
Assim, é possível considerar que a LGPD traz um reforço mais específico em relação à
proteção de dados pessoais dos consumidores.
Contudo, é importante observar a necessária compatibilização com outros direitos
fundamentais, como a livre iniciativa e a inovação.
Direitos humanos
A previsão é um reforço aos demais fundamentos, já que a privacidade, a liberdade de
expressão, a liberdade de opinião e tantas outras disposições são consideradas
direitos humanos.
Livre desenvolvimento da personalidade
O tratamento inadequado de dados pessoais tem o potencial de prejudicar o
desenvolvimento da personalidade por diversas razões, podendo gerar exposição
indevida, discriminação e cerceamento de direitos, razão pela qual a proteção de
dados contribui com o desenvolvimento.
A Lei Geral de Proteção de Dados prevê amplo rol de fundamentos. Sobre o tema,
assinale a alternativa correta:
O conceito de privacidade abrange o direito à proteção de dados pessoais.
O conceito de privacidade se tornou insuficiente para traduzir a necessidade

de proteção de dados pessoais.
O direito à proteção de dados pessoais abrange o direito à privacidade.
O direito à privacidade afasta a previsão de direito à proteção de dados

pessoais.
Falamos de alguns fundamentos da LGPD, como a defesa do consumidor, dos Direitos

Humanos como um reforço aos demais fundamentos e do livre desenvolvimento da
personalidade. Seguiremos abordando sobre a dignidade da pessoa, o exercício da
cidadania e a inviolabilidade da intimidade, da honra e da imagem.
Pag. 12
Que tal explorarmos um pouco mais sobre esse tema?

Dignidade
A dignidade da pessoa traduz o superprincípio inserido na Constituição Federal.
Tal como os direitos fundamentais previstos no art. 5º da CRFB tendem a concretizar a
dignidade da pessoa humana, a proteção de dados pessoais também busca integrar o rol.
Exercício da cidadania
O cidadão é aquele que possui pleno gozo dos direitos políticos.
No contexto atual, a proteção de dados pessoais possui especial aplicação no âmbito
da desinformação.
Inviolabilidade da intimidade, da honra e da imagem
A proteção de dados pessoais é intimamente ligada à tutela de tais direitos
fundamentais, já que os dispositivos da LGPD focam a proteção da intimidade, da honra
e da imagem do titular.
Pag. 13
Assinale a alternativa correta:
A dignidade somente é garantida pela LGPD em razão de previsão constitucional.
O direito ao exercício da cidadania é aplicável também às pessoas jurídicas.
A dignidade e o exercício da cidadania não constituem fundamentos da LGPD, mas

objetivos.
O direito ao exercício da cidadania é aplicável apenas às pessoas naturais.
Com essa videoaula, terminamos a primeira parte deste tema, na qual abordamos tópicos
relacionados a definição e fundamentos da LGPD. Vamos seguir agora com um assunto
muito importante que é a proteção de dados pessoais como direito fundamental. Vamos
lá!
Pag. 14
2 | Proteção de Dados Pessoais como

direito fundamental
• Entender o direito à privacidade e sua origem.
• Compreender o motivo pelo qual o tema privacidade e proteção de dados se tornou uma preocupação.
• Entender como a legislação europeia de proteção de dados pessoais funciona.
• Conhecer as decisões do STF quanto à proteção de dados.
• Identificar os princípios da LGPD.
Conceito de privacidade e evolução do tema
Conceito inicial de privacidade

Conceito clássico (Warren e Brandeis): direito de estar só ou direito de ser deixado
só.
Surge como direito negativo, ou seja, como um direito oponível ao Estado, que não
poderia adentrar a vida privada do titular.
Como direito subjetivo, passa a ser exigível do Estado que resguardasse a privacidade
dos indivíduos.
Insuficiência do conceito de privacidade
Pag. 15
O direito à privacidade como direito de ser deixado só se torna insuficiente.
Apesar de preservar o sentido, há uma ampliação, já que a evolução tecnológica
reduziu a privacidade.
Meios de flexibilização do direito são cotidianos e tramitam paralelamente à evolução
tecnológica e à utilização de mais componentes tecnológicos, seja pela ampliação do
uso da internet, do uso de dispositivos móveis e da internet das coisas (IoT), por
exemplo.
Abrangência atual
Com a evolução tecnológica, a privacidade passa da relação “pessoa – informação –
segredo” para “pessoa – informação – circulação – controle”.
Basicamente, o direito à proteção de dados pessoais é uma evolução do direito à
privacidade, concedendo ao titular mais informação, controle, autodeterminação e não
discriminação.
Portanto, ultrapassa a concepção de não ter seus dados tratados ou suas informações
acessadas, atingindo o maior respeito e controle.
Considerando que o direito à privacidade não é estático e evolui conforme

alterações verificadas no mundo dos fatos, assinale a alternativa correta:
O direito à privacidade evoluiu e deu origem ao direito à proteção de dados

pessoais.
O direito à privacidade se restringe ao direito de ser deixado só.
Atualmente, o direito à privacidade não engloba o direito de ser deixado só.
A proteção de dados pessoais surge para tutelar as relações ocorridas em meio

digital, em razão da evolução tecnológica.
Vimos como a privacidade é um tema superimportante. Veremos, na sequência, sobre a
Pag. 16
proteção de dados pessoais e a evolução da legislação europeia.
Vamos em mais essa jornada!
Proteção de dados pessoais, evolução da legislação europeia
Proteção de dados pessoais

O direito à privacidade evoluiu e originou o direito à proteção de dados pessoais.
A especificação surge a partir do momento em que é ampliado o tratamento de dados
pessoais para diversas finalidades: oferecer produtos e serviços, criar perfis
comportamentais, atender a obrigações legais, ampliar o fluxo de pessoas e serviços
entre os países.
Portanto, a proteção de dados pessoais serve para oferecer maior segurança ao titular
de dados pessoais.
Evolução da Legislação na Europa

Na Europa, o tema da privacidade e proteção de dados se tornou uma preocupação já na
década de 1970, razão pela qual o continente possui avançada posição no tema e serviu
de exemplo para muitos países no mundo, inclusive no Brasil.
Primeira tentativa europeia: Alemanha Ocidental (1970).
• Legislação sintética e âmbito federal (não nacional).
• Disciplina atividades de instituições que tratam dados pessoais.
• Pioneira na criação de um “Comissário” para proteção de dados.
Primeira lei nacional de proteção de dados: Suécia (1973).
Experiência francesa (1978).
• Chamada de Lei de Computação e Liberdades.
• Cria uma “autoridade de proteção de dados” (CNIL).
Pag. 17
• A CNIL ainda é a autoridade de proteção de dados pessoais, resguardada a evolução
do tema.
Outros países legislavam sobre o tema antes de 1980: Dinamarca, Áustria, Noruega,
Luxemburgo e Islândia.
O direito norte-americano foi pioneiro na proteção de dados pessoais.
A legislação francesa foi a primeira a tratar de uma espécie de encarregado ou

Data Protection Officer.
O primeiro país a criar uma autoridade de proteção de dados foi a Alemanha

Ocidental.
A legislação europeia exerceu forte influência sobre a Lei Geral de Proteção

de Dados no Brasil.
Entendemos como a proteção de dados funciona em alguns países e no mundo. Que tal
verificarmos um pouco sobre a evolução da legislação na Europa?
Legislação europeia de proteção de dados pessoais
Evolução da Legislação na Europa
Pag. 18
Na União Europeia, ficou nítido que a proliferação de diplomas internos não seria
suficiente para regular o tema da proteção de dados pessoais, já que é muito comum
que o fluxo de informações ultrapasse fronteiras.
Como deveria ser regulada a situação de agentes de tratamento que operam entre países
que possuam normas distintas e, eventualmente, conflitantes entre si?
É reforçada a busca por normas comuns e pela uniformização supranacional.
OCDE (1981): Convenção para proteção de dados de indivíduos que possuem dados
processados de forma automatizada
• Estimula países membros do Conselho da Europa e demais signatários da convenção a
adotarem normas para tratamento de dados pessoais, segundo parâmetros estipulados.
• Houve assinatura de países latinos, como Argentina, México e Uruguai.
• A partir da Convenção, vários países europeus promoveram adequação, como Bélgica e
Espanha.
• O Reino Unido adere à Convenção e cria uma autoridade de proteção de dados
pessoais, que posteriormente se adere à ICO (Information Commissioner Office), atual
autoridade.
Diretiva 95/46/CE
• Prevê terminologia básica, como costuma ocorrer em legislação semelhante, como a
LGPD brasileira.
• Estrutura principiológica, se adequando à dinâmica do tema.
• Vincula poder público e privado.
• Era necessária a transposição dos termos para o direito interno de cada país.
Surge a necessidade de uma normatização que fosse aplicável a todos os países
membros.
Pag. 19
O tema da privacidade e da proteção de dados na Europa evoluiu ao longo das

décadas. Acerca do tema, assinale a opção incorreta:
A diretiva 95/46/CE representou importante norma sobre privacidade e proteção

de dados pessoais na Europa.
Após o período em que prevaleceu o direito interno, foi imediatamente expedida

norma no contexto europeu automaticamente aplicável aos Estados-membros.
A Convenção para proteção de dados de indivíduos que possuem dados processados

de forma automatizada, expedida pelo Conselho da Europa, possibilitou a adesão
de países não pertencentes ao bloco.
A busca pela uniformização normativa era favorável ao desenvolvimento

econômico e tecnológico, mas também à proteção de dados pessoais.
Vimos sobre o OCDE e sobre algumas diretivas, como a 95 e a 46. Veremos, na

sequência, a General Data Protection Regulation (GDPR) e as suas características
relevantes.
Considerações sobre o GDPR no Brasil
General Data Protection Regulation (GDPR)

Características relevantes:
• Prevê terminologia básica;
Pag. 20
• Estrutura principiológica;
• Vincula os Estados-membros;
• Possui um rol de considerandos que cobrem questões práticas relevantes, como o
Legítimo Interesse;
• Prevê a necessidade de uma base legal / hipótese de tratamento;
• Traz determinações sobre segurança da informação;
• Coloca o titular como centro da regulamentação e tutela diversos direitos;
• Prevê instrumentos híbridos de regulação;
• Privilegia medidas de accountability e transparência.
Proteção de dados pessoais no Brasil

Previsões normativas que antecederam a LGPD:
• Proteção à vida privada na CRFB;
• Código de Defesa do Consumidor;
• Lei do Habeas Data;
• Lei do Cadastro Positivo;
• Marco Civil da Internet.
Com o fortalecimento da legislação de proteção de dados na Europa e o surgimento de
diplomas normativos sobre o tema em diversos lugares do mundo, o Brasil passa a
sofrer certa pressão política e econômica, tanto de outros Estados, quanto de
empresas privadas, sobremaneira aquelas que atuam ou possuem relação com a Europa.
Assim, é proposta a criação da Lei Geral de Proteção de Dados, que contou com a
participação de acadêmicos e outros profissionais de privacidade e proteção de dados
no Brasil.
Pag. 21
Com relação ao GDPR, assinale a alternativa correta:
No continente europeu, o GDPR inovou com a previsão de uma terminologia

básica.
Ao contrário da Diretiva 95/46/CE, o GDPR não possui aplicabilidade em todos

os Estados-membros da União Europeia.
Todo tratamento de dados pessoais precisa se fundar em uma base legal.
Os direitos dos titulares devem ser previstos por ato das autoridades
nacionais de proteção de dados pessoais.
Conhecemos como a proteção de dados pessoais surgiu no Brasil, como funciona e as

características da General Data Protection Regulation (GDPR). Veremos, na próxima
videoaula, as decisões do STF e a proteção de dados pessoais como direito
fundamental.
O STF e a proteção de dados pessoais como direito fundamental
Supremo Tribunal Federal e proteção de dados

A aprovação da LGPD ocorreu em 2018. Contudo, apesar das defesas doutrinárias acerca
da autonomia da proteção de dados pessoais como direito fundamental, tal
reconhecimento ainda não havia ocorrido no Brasil.
Em julgamento realizado no dia 07/05/2020, o Supremo Tribunal Federal reconheceu não
Pag. 22
apenas o direito fundamental à proteção de dados pessoais, como à autodeterminação
informativa (ADI 6393).
O caso era de ação direta de inconstitucionalidade que buscava invalidar Medida
Provisória que obrigava empresas de telefonia a disponibilizar dados pessoais de
clientes ao IBGE para a realização de entrevistas não presenciais.
Na ocasião, ficou conhecido o voto do Min. Luiz Fux reconhecendo a autonomia dos
direitos fundamentais:
“A autonomia do direito fundamental em jogo na presente ADI exorbita, em essência, de
sua mera equiparação com o conteúdo normativo da cláusula de proteção ao sigilo. A
afirmação de um direito fundamental à privacidade e à proteção de dados pessoais
deriva, ao contrário, de uma compreensão integrada do texto constitucional lastreada
(i) no direito fundamental à dignidade da pessoa humana, (ii) na concretização do
compromisso permanente de renovação da força normativa da proteção constitucional à
intimidade (art. 5º, inciso X, da CF/88) diante do espraiamento de novos riscos
derivados do avanço tecnológico e ainda (iii) no reconhecimento da centralidade do
Habeas Data enquanto instrumento de tutela material do direito à autodeterminação
informativa.
A proteção de dados pessoais e autodeterminação informativa são direitos fundamentais
autônomos extraídos da garantia da inviolabilidade da intimidade e da vida privada e,
consectariamente, do princípio da dignidade da pessoa humana”.
Direito fundamental autônomo

Em breve síntese, antes da aprovação da Emenda Constitucional nº 115/2022, o Supremo
Tribunal Federal havia reconhecido a existência da proteção de dados pessoais e da
autodeterminação informativa como direitos fundamentais autônomos.
Ressalte-se que, apesar de aprovada, a LGPD ainda não havia entrado em vigor.
Na ocasião, houve críticas dos Ministros à inércia que havia acerca da criação
efetiva da Autoridade Nacional de Proteção de Dados.
Pag. 23
Sobre a proteção de dados pessoais no Brasil, assinale a alternativa correta:
O direito fundamental foi reconhecido com o advento da Lei Geral de Proteção

de Dados.
O direito fundamental foi reconhecido apenas com a elaboração da PEC que

resultou em alteração do rol de direitos fundamentais.
O direito fundamental foi reconhecido pelo Supremo Tribunal Federal como

direito autônomo.
O direito fundamental não é reconhecido no Brasil.
Vimos que, mesmo tendo sido aprovada a LGPD em 2018, o reconhecimento veio apenas em
2020, quando o STF, além de reconhecer a LGPD como um direito fundamental, também
reconheceu o ADI 6393.
Emenda constitucional e respectivas consequências
Emenda Constitucional
No Brasil, passou a vigorar a Emenda Constitucional nº 115 em fevereiro de 2022, com
alteração do art. 5º da CRFB e atribuição de competência legislativa.
Segundo a doutrina, a previsão se trata de norma programática, regulamentada pela Lei
Geral de Proteção de Dados Pessoais, assim como a defesa do consumidor, prevista
constitucionalmente, é preenchida pelo Código de Defesa do Consumidor.
Pag. 24
Alteração do artigo 5º
A principal mudança foi o texto legal do art. 5º, com inclusão do inciso LXXIX:
LXXIX - é assegurado, nos termos da lei, o direito à proteção dos dados pessoais,
inclusive nos meios digitais.
Portanto, o direito fundamental à proteção de dados pessoais passa a ser protegido
nos meios físico e digital.
Competência legislativa e de fiscalização

Outra mudança substancial que frequentemente é relegada ao segundo plano é a
alteração de competência para fixar a União como responsável, demonstrando a busca
por maior segurança e uniformidade da matéria no âmbito nacional.
• Art. 21. Compete à União: XXVI - organizar e fiscalizar a proteção e o tratamento
de dados pessoais, nos termos da lei.
• Art. 22. Compete privativamente à União legislar sobre: XXX - proteção e tratamento
de dados pessoais.
A Emenda Constitucional 115/2022 se limitou a acrescentar a proteção de dados

pessoais no rol do art. 5º.
A Emenda Constitucional 115/2022 revogou diversos dispositivos da LGPD.
A Emenda Constitucional 115/2022 alterou o art. 5º e estabeleceu competências

legislativas e de fiscalização.
A Emenda Constitucional 115/2022 possui característica programática, não

vinculando o poder público.
Compreendemos um pouco sobre a Emenda Constitucional nº 115 e sua importância. No
Pag. 25
próximo módulo, esperamos você para conhecer os princípios e o conceito de dados
pessoais e como esse conhecimento poderá ajudá-lo(a).
3 | Conceitos básicos e princípios

• Reconhecer os conceitos de dados pessoais.
• Identificar os diferentes tipos de controladoria.
• Conhecer os principais conceitos que compõem a LGPD.
• Compreender os princípios da LGPD.
Conceitos básicos: dados pessoais
Dados pessoais
• É toda informação capaz de identificar uma pessoa física ou torná-la identificável.
• São considerados dados pessoais não só aqueles que identificam uma pessoa
imediatamente (como nome, sobrenome, CPF, RG, CNH, carteira de trabalho e título de
eleitor), como também aqueles que, em conjunto com outros dados, tornam uma pessoa
identificável. Dados como gênero, idade, telefone, e-mail, ainda que não sejam
Pag. 26
capazes de identificar alguém de imediato, em conjunto, tornam a pessoa passível de
identificação.
• A título de exemplo, imagine que você queira identificar determinado colaborador.
Se você souber em que área esse colaborador trabalha, as opções já se tornam muito
mais reduzidas e você está mais perto de identificá-lo. Se souber que esse
colaborador é uma mulher, as opções ficam mais restritas. Sabendo a sua idade, talvez
você já consiga identificar essa colaboradora. Assim, agregando mais dados a essa
equação, aqueles dados que, a priori, não seriam capazes de identificar alguém de
plano (como área em que trabalha, gênero e idade), analisados em conjunto,
possibilitam essa identificação, razão pela qual também poderão ser considerados
dados pessoais.
Dados pessoais sensíveis

Dados pessoais relacionados a características da personalidade do indivíduo e suas
escolhas pessoais, tais como:
• Origem racial ou étnica;
• Convicção religiosa;
• Opinião política;
• Filiação a sindicato ou a organização de caráter religioso, filosófico ou político;
• Dado referente à saúde ou à vida sexual, dado genético ou biométrico.
Essas informações potencialmente podem vir a gerar discriminação, por isso, a LGPD
estabelece uma proteção maior a essa categoria de dados pessoais.
Rol taxativo ou exemplificativo?
Discussão doutrinária.
Titular de dados pessoais

Pessoa natural a quem se referem os dados pessoais que são objeto de tratamento. Ex.:
Se são armazenados nome, CPF e endereço do colaborador ou consumidor João Silva. O
titular desses dados será o próprio João Silva.
Atenção: a lei não é aplicável aos dados de pessoas jurídicas.
Tratamento
Qualquer operação ou conjunto de operações efetuadas com dados pessoais ou sobre
Pag. 27
conjuntos de dados pessoais, por meios automatizados ou não automatizados,
tais como coleta, produção, recepção, utilização, classificação, acesso,
reprodução, transmissão, distribuição, processamento, arquivamento,
armazenamento, eliminação, avaliação ou controle da informação,
modificação, comunicação, transferência, difusão ou extração.
Dentre as opções abaixo, qual delas traz exemplos de dados pessoais sensíveis?
Nome e CPF de prestador de serviços presente em cadastro de fornecedores.
E-mail pessoal do colaborador da empresa.
Dados bancários de colaborador da folha de pagamento.
Dados de saúde presentes no ASO (Atestado de Saúde Ocupacional) do

colaborador.
Conhecemos um pouco sobre como devem ser tratados os dados pessoais, os dados
pessoais sensíveis e o titular de dados pessoais. Na sequência, veremos os conceitos
de agentes de tratamento, controlador, operador, controladoria conjunta e
controladoria independente.
Vamos continuar em mais esta etapa de nosso aprendizado!
Pag. 28
Conceitos básicos: agentes de tratamento, controlador, operador e controladoria
Conceitos básicos: agentes de tratamento, controlador, operador, controladoria

conjunta e controladoria independente
Agentes de Tratamento
São pessoas naturais ou jurídicas e se dividem em: controladores e operadores.
Controlador
Pessoa natural ou jurídica, de direito público ou privado, a quem competem as
decisões referentes ao tratamento de dados pessoais.
Operador
Pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento
de dados pessoais de acordo com as instruções do controlador. Cabe ao Controlador
definir as finalidades do tratamento, bem como fornecer as instruções necessárias
para garantir a sua legitimidade e legalidade.
O Operador se compromete a seguir as instruções do Controlador desde que sejam
lícitas, podendo sinalizar caso haja contrariedade dessas instruções com a lei.
Controladoria Conjunta
As decisões referentes ao tratamento de dados competem às duas partes e há
reciprocidade quanto à postura ativa sobre o tratamento dos dados, com
compartilhamento de responsabilidades.
Além disso, por decidirem conjuntamente acerca das operações, devem se ater ao teor
do que for acordado, sob pena de atuarem como Controladores Independentes.
Ambas as partes reconhecem que tratam os dados pessoais em razão do objeto
estabelecido no Contrato e de acordo com as decisões conjuntas e licitamente tomadas,
aplicando todas as medidas técnicas e/ou administrativas necessárias ao tratamento de
Pag. 29
dados.
Controladoria Independente
Podem ser classificados como tais desde o início da relação ou surgir em razão do
descumprimento de obrigações por um dos Controladores Conjuntos.
As partes respondem por seus atos de forma independente e eventuais prejuízos
causados à outra parte devem ser ressarcidos, cabendo eventual ação de regresso.
Imagine a seguinte situação: uma empresa contrata um determinado laboratório

para a realização de exames admissionais de seus colaboradores, com o objetivo
de cumprimento de obrigação legal. Analisando o contrato, é possível perceber
que as finalidades, a forma e o fundamento para as operações envolvidas são
determinados pela empresa contratante. Qual a relação que existe entre os dois
agentes de tratamento?
Controladora (empresa contratante) x operador (laboratório).
Controladoria conjunta.
Controladoria independente.
Controlador (laboratório) x operadora (empresa contratante).
Verificamos alguns conceitos importantes da LGPD. Na próxima videoaula, conheceremos

sobre a função e a composição da ANPD (Autoridade Nacional de Proteção de Dados) e do
CNPD (Conselho Nacional de Proteção de Dados).
Pag. 30
Conceitos básicos: encarregado, ANPD e CNPD
ANPD
• A Autoridade Nacional de Proteção de Dados (ANPD) é o órgão da administração
pública, responsável por regular e fiscalizar a proteção de dados pessoais de acordo
com as disposições contidas na LGPD.
• A sua missão institucional é garantir a mais ampla e correta observância da LGPD no
Brasil, assegurando a devida proteção aos direitos fundamentais de liberdade,
privacidade e livre desenvolvimento da personalidade dos indivíduos.
• Principais competências da ANPD: art. 55-J da LGPD.
Site: https://www.gov.br/anpd/pt-br
CNPD
• O Conselho Nacional de Proteção de Dados Pessoais e da Privacidade é entidade de
natureza consultiva que viabiliza a participação dos diferentes segmentos sociais na
conformação do ambiente regulatório de proteção de dados pessoais.
• Composto por vinte e três membros titulares e suplentes, com mandato de dois anos,
designados pelo Presidente da República.
Encarregado / DPO (Data Protection Officer)

• Pessoa física ou jurídica indicada pelo controlador e operador para atuar como
canal de comunicação entre o controlador, os titulares dos dados e a Autoridade
Nacional de Proteção de Dados (ANPD).
• O DPO pode ser um profissional contratado pela empresa, atuando internamente como
funcionário ou um terceiro, que efetua as funções por meio de contrato de prestação
Pag. 31
de serviços.
• Compete ao encarregado o exercício das funções estabelecidas no art. 41, §2º da
LGPD:
I - aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e
adotar providências;
II - receber comunicações da autoridade nacional e adotar providências;
III - orientar os funcionários e os contratados da entidade a respeito das práticas a
serem tomadas em relação à proteção de dados pessoais; e
IV - executar as demais atribuições determinadas pelo controlador ou estabelecidas em
normas complementares.
• A regra geral do art. 5º, VIII da LGPD é a obrigatoriedade da indicação de um DPO.

Entretanto, a ANPD já definiu hipótese de dispensa para os agentes de tratamento de
pequeno porte, consoante Resolução CD/ANPD Nº 2, de 27 de janeiro de 2022.
Art. 11. Os agentes de tratamento de pequeno porte não são obrigados a indicar o
encarregado pelo tratamento de dados pessoais exigido no art. 41 da LGPD.
§ 1º O agente de tratamento de pequeno porte que não indicar um encarregado deve
disponibilizar um canal de comunicação com o titular de dados para atender o disposto
no art. 41, § 2º, I da LGPD.
§ 2º A indicação de encarregado por parte dos agentes de tratamento de pequeno porte
será considerada política de boas práticas e governança para fins do disposto no art.
52, §1º, IX da LGPD.
Fonte: https://www.in.gov.br/en/web/dou/-/resolucao-cd/anpd-n-2-de-27-de-janeiro-de-2022-376562019
Pag. 32
Assinale a alternativa incorreta.
Todas as empresas devem obrigatoriamente indicar um DPO.
O encarregado pode ser tanto um colaborador interno, bem como um terceiro,

prestador de serviços.
A ANPD é responsável por zelar, regular e fiscalizar a proteção de dados

pessoais de acordo com as disposições contidas na LGPD.
Os membros que compõem o CNPD têm mandato de dois anos e são designados pelo
Presidente da República.
Além da ANPD (Autoridade Nacional de Proteção de Dados) e do CNPD (Conselho Nacional

de Proteção de Dados), vimos também a função e as competências do DPO (Data
Protection Officer). Veremos, a seguir, um pouco sobre a anonimização,
pseudonimização e incidentes envolvendo dados pessoais. Que tal entender como evitar
esses possíveis problemas?
Conceitos básicos: anonimização, pseudonimização e incidentes envolvendo dados

pessoais
Conceitos básicos: anonimização, pseudonimização e incidentes envolvendo dados

pessoais
Anonimização
Medida técnica irreversível por meio da qual um dado perde a possibilidade de
Pag. 33
associação, direta ou indireta, a um indivíduo, o que o faz deixar de ser considerado
um dado pessoal.
Dados anonimizados: dado relativo a titular que não possa ser identificado,
considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu
tratamento.
Pseudonimização
Tratamento por meio do qual um dado perde a possibilidade de associação, direta ou
indireta, a um indivíduo, senão pelo uso de informação adicional mantida
separadamente pelo controlador em ambiente controlado e seguro.
Incidentes envolvendo dados pessoais

Qualquer destruição, perda, modificação, divulgação não autorizada ou acesso, de
forma acidental ou ilegal, que envolva dados pessoais. São exemplos:
• Perda de dados/hardware;
• Dados/hardware roubados;
• Acessos não autorizados;
• Compartilhamento indevido;
• Tentativa fraudulenta de obtenção de informações confidenciais (phishing); e
• Outros.
Política de Segurança da Informação e Política de Resposta a Incidentes.
Incidentes envolvendo dados pessoais
Pag. 34
Fonte: Itforum. Acesso: https://itforum.com.br/noticias/brasil-esta-na-sexta-colocacao-entre-os-paises-mais-atingidos-por-vazamentos-d
e-dados-em-2021/
Agência Brasil. Acesso: https://agenciabrasil.ebc.com.br/economia/noticia/2022-01/bc-comunica-vazamento-de-dados-de-1601-mil-chaves-pi
Tecnoblog. Acesso: https://tecnoblog.net/noticias/2021/03/16/novo-vazamento-de-223-milhoes-de-cpfs-traz-celulares-e-mails-e-mais-
dados/
Pag. 35
Assinale a alternativa correta.
Pseudonimização é a medida técnica irreversível por meio da qual um dado perde

a possibilidade de associação, direta ou indireta, a um indivíduo, o que o faz
deixar de ser considerado um dado pessoal.
O vazamento de dados de login e telefone de cadastro de usuários do aplicativo

representa um exemplo de incidente de segurança que envolve dados pessoais.
A Política de Segurança da Informação é o documento que dispõe sobre as

medidas que devem ser tomadas em caso de eventual incidente de segurança da
informação envolvendo dados pessoais.
Anonimização é o tratamento por meio do qual um dado perde a possibilidade de

associação, direta ou indireta, a um indivíduo, senão pelo uso de informação
adicional mantida separadamente pelo controlador em ambiente controlado e
seguro.
São vários os problemas que incidem sobre os dados pessoais, conforme vimos na
videaula anterior. Seguiremos para falar um pouco dos princípios da Lei Geral de
Proteção de Dados.
Você não pode perder essa!
Princípios da LGPD
Princípios: finalidade, adequação, necessidade, livre acesso e qualidade dos dados

Pag. 36
O art. 6º da LGPD traz dez princípios que devem nortear o tratamento de dados
pessoais, que garantem que os agentes de tratamento estejam em conformidade com a
LGPD.
Princípio da Finalidade
O titular deve ser informado de maneira clara acerca das finalidades, ou seja, acerca
dos propósitos legítimos e específicos que motivaram o tratamento.
Princípio da Adequação
Esse princípio está intimamente relacionado com o princípio da finalidade e determina
que o tratamento deve ser compatível com as finalidades informadas ao titular.
Princípio da Necessidade
Não se deve coletar dados pessoais desnecessários ou em excesso.
Limitação do tratamento ao mínimo necessário para que se alcance o propósito
almejado, que deve ser pertinente, proporcional e não excessivo em relação às
finalidades do tratamento de dados.
Princípio da Qualidade
Garante que os dados tratados sejam corretos, atualizados e verdadeiros, de acordo
com a necessidade e para o cumprimento da finalidade de seu tratamento.
Princípio do Livre Acesso
Os titulares de dados têm direito à consulta facilitada e gratuita sobre a forma e a
duração do tratamento, bem como sobre quais dados pessoais são tratados e respectivas
finalidades.
Os agentes de tratamento deverão disponibilizar procedimento que garanta ao titular a
possibilidade de obter, a seu exclusivo critério, informações precisas acerca do
tratamento de seus dados.
Canais de atendimento gratuitos, de acesso simples e facilitado.
Pag. 37
A seguir, trazemos a definição de dois princípios importantes previstos na

LGPD: (i) realização do tratamento para propósitos legítimos, específicos,
explícitos e informados ao titular, sem possibilidade de tratamento posterior
de forma incompatível com essas finalidades; (ii) limitação do tratamento ao
mínimo necessário para a realização de suas finalidades, com abrangência dos
dados pertinentes, proporcionais e não excessivos em relação às finalidades do
tratamento de dados. Quais seriam esses princípios?
(i) Princípio da Necessidade; (ii) Princípio da Adequação.
(i) Princípio da Finalidade; (ii) Princípio da Necessidade.
(i) Princípio da Adequação; (ii) Princípio da Finalidade.
(i) Princípio do Livre Acesso; (ii) Princípio da Adequação.
Vimos os princípios da finalidade, adequação, necessidade, livre acesso e qualidade

dos dados, os quais são alguns dos princípios que devem nortear o tratamento de dados
pessoais. Continuaremos a conhecer os princípios da transparência, segurança,
prevenção, não discriminação, responsabilização e prestação de contas. Vamos em mais
essa jornada do conhecimento no mundo da LGPD!
Conceitos básicos - Princípios
Princípios: transparência, segurança, prevenção, não discriminação, responsabilização
Pag. 38
e prestação de contas
Princípio da Transparência
• Estabelece que os titulares têm direito a obter informações claras, precisas e
facilmente acessíveis sobre o tratamento.
• Exceção: respeito aos segredos comercial e industrial.
• Política de Privacidade e Termos e Condições de Uso.
• Evitar o peticionamento feito pelo titular no site da ANPD.
Princípio da Segurança
• Determina a utilização de medidas aptas a proteger os dados pessoais de acessos não
autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração,
comunicação ou difusão.
• Medidas técnicas e administrativas.
• Política de Segurança da Informação.
Princípio da Prevenção
• Estabelece a necessidade de adoção de medidas capazes de prevenir a ocorrência de
danos em virtude do tratamento de dados pessoais.
• O Princípio da Prevenção complementa o Princípio da Segurança, na medida em que
impõe aos agentes de tratamento a obrigação de adotar medidas preventivas contra a
ocorrência de eventuais danos decorrentes do tratamento de dados.
Princípio da Não Discriminação
• Veda que o tratamento de dados seja utilizado para fins ilícitos ou abusivos.
• Assim, o art. 20 da LGPD assegura ao titular dos dados o direito a solicitar
revisão de decisões tomadas unicamente com base em tratamento automatizado de dados
pessoais que afetem seus interesses.
Princípio da Responsabilização e Prestação de Contas
• Impõe que o agente preste contas, ou seja, que demonstre a adoção de medidas
eficazes e capazes de comprovar a observância e o cumprimento das normas de
privacidade e proteção de dados.
Pag. 39
Um titular de dados faz um requerimento ao colaborador de uma empresa,

solicitando a confirmação da existência de tratamento de seus dados pessoais.
O que o colaborador deve fazer?
Informar ao titular de dados pessoais que ele deve procurar diretamente a

Autoridade Nacional de Proteção de Dados.
Ignorar a solicitação, afinal, as informações são sigilosas.
Consoante o princípio da transparência, deve entrar em contato com o

encarregado da empresa, que responderá à solicitação do titular com o auxílio
da área jurídica.
Informar ao titular de dados pessoais que ele deve procurar diretamente o

Conselho Nacional de Proteção de Dados Pessoais e da Privacidade.
Vimos todos os princípios que norteiam a LGPD. No próximo módulo, falaremos sobre
Bases legais previstas na LGPD, no GDPR e no debate sobre hierarquia. Vamos lá!
Pag. 40
4 | Bases Legais
• Identificar as bases legais previstas pela LGPD e GDPR.
• Compreender as definições sobre o consentimento e o cumprimento de obrigação legal.
• Entender a execução de contrato ou procedimentos preliminares.
• Compreender a execução de políticas públicas, realização de estudos e de prevenção à fraude.
Bases legais previstas na LGPD, no GDPR e no debate sobre hierarquia
Base legal para o tratamento de dados pessoais

Base legal é o fundamento legal que legitima determinada operação de tratamento de
dados pessoais.
• As bases legais estão dispostas nos arts. 7º e 11, da LGPD.
• Art. 7º - indica as bases legais que autorizam o tratamento de dados pessoais;
• Art. 11 – indica as bases legais que autorizam o tratamento de dados pessoais
sensíveis.
Bases legais - art. 7º, da LGPD
Pag. 41
• Consentimento;
• Cumprimento de obrigação legal ou regulatória;
• Tratamento e uso compartilhado de dados necessários à execução de políticas
públicas pela Administração Pública;
• Realização de estudos por órgão de pesquisa;
• Execução de contrato ou procedimentos preliminares ao contrato;
• Exercício regular de direitos em processo judicial, administrativo ou arbitral;
• Proteção da vida e tutela da saúde;
• Legítimo interesse;
• Proteção do crédito.
Bases legais - art. 11, da LGPD

• Consentimento;
• Tratamento e uso compartilhado de dados necessários à execução de políticas
públicas pela Administração Pública;
• Realização de estudos por órgão de pesquisa;
• Exercício regular de direitos em contrato, processo judicial, administrativo ou
arbitral;
• Proteção da vida;
• Tutela da saúde;
• Garantia da prevenção à fraude e à segurança do titular em processos de
identificação e autenticação de cadastro em sistemas eletrônicos.
Bases legais do GDPR para tratamento de dados pessoais

• Consentimento;
• Execução do contrato;
• Defesa de interesses vitais do titular dos dados pessoais ou de pessoa singular;
• Exercício de funções de interesse público ou exercício da autoridade pública;
• Interesse legítimo.
Ausência de hierarquia entre as bases legais
Pag. 42
Destaca-se que não há hierarquia entre as bases legais para o tratamento de dados
pessoais. Caberá ao agente de tratamento, definir a base legal mais adequada a cada
operação, atento aos princípios da finalidade, necessidade e adequação, previstos na
LGPD.
Enunciado n. 4889, da IX Jornada de Direito Civil: “Não há hierarquia entre as bases
legais estabelecidas nos arts. 7º e 11 da Lei Geral de Proteção de Dados” (Lei n.
13.709/2018).
Acerca das bases legais para o tratamento de dados pessoais, assinale a

alternativa correta:
São exemplos de hipóteses legais que legitimam o tratamento de dados pessoais

sensíveis: consentimento, cumprimento de obrigação legal e legítimo interesse.
A base legal do consentimento ocupa posição superior às demais bases legais

previstas na LGPD.
O GDPR prevê a proteção do crédito como uma das bases legais que autorizam o
tratamento de dados pessoais.
O consentimento do titular e o interesse legítimo são exemplos de bases legais

que autorizam o tratamento de dados pessoais, não havendo hierarquia entre
elas.
Como bases legais, abordamos o art. 7º e o art. 11 da Lei Geral de Proteção de Dados
e, com eles, aprendemos que não há hierarquia entre essas bases legais que tratam de
dados pessoais. Na próxima videoaula, abordaremos o consentimento e o cumprimento de
obrigação legal e como isso pode ou não impactar em nossas decisões. Essa você não
pode perder!
Pag. 43
Consentimento e cumprimento de obrigação legal
Consentimento
Antes da LGPD, o tratamento de dados pessoais era centralizado no consentimento,
vide, por exemplo, a hipótese do art. 7º, inc. IX, do Marco Civil da Internet (MCI -
Lei nº 12.965/2014). Como visto anteriormente, a LGPD inaugurou novas bases legais
para justificar o tratamento de dados pessoais.
Consentimento: manifestação livre, informada e inequívoca pela qual o titular
concorda com o tratamento de seus dados pessoais para uma finalidade
determinada.
Requisitos do consentimento na LGPD:
• Livre: escolha real do titular (não forçada ou induzida);
• Informado: ciência do titular sobre o tratamento de seus dados, nos termos do art.
9º, inc. I a VII, da LGPD;
• Inequívoco: ação clara e afirmativa do titular;
• Finalidade determinada: o agente de tratamento deverá descrever os propósitos
específicos do tratamento. Autorizações genéricas serão nulas (art. 8º, §4º).
O ônus do consentimento
Ao eleger a base legal do consentimento, o agente de tratamento deve estar ciente dos
seguintes ônus associados:
• O consentimento coletado por escrito deve estar em cláusula destacada das demais
(art. 8º, §1º);
• Cabe ao controlador o ônus da prova de que o consentimento foi obtido em
conformidade com a LGPD (art. 8º, §2º);
• O controlador deve coletar novo consentimento para comunicar ou compartilhar dados
Pag. 44
pessoais com outros agentes de tratamento (art. 7º, §5º);
• Direito de revogação do consentimento por procedimento gratuito e facilitado (art.
8º, §5º) ;
• Gestão do consentimento;
• Esforço operacional.
Quando o consentimento é a base legal adequada?

Como vimos anteriormente, não há hierarquia entre as bases legais, então, o
consentimento não deve ser considerado uma base legal melhor ou mais importante do
que as demais.
O consentimento será apropriado se for possível fornecer aos titulares escolha e
controle reais sobre o tratamento de seus dados pessoais. São exemplos de situações
em que o consentimento pode ser considerado a base legal mais adequada:
• Tratamento de dados de candidatos de processos seletivos para a construção de um
banco de talentos.
• Tratamento de dados de clientes para a elaboração de uma campanha publicitária com
depoimentos pessoais sobre produtos/serviços da empresa.
• Tratamento de dados de colaboradores para fins diversos daqueles previstos no
contrato de trabalho (desde que livre), por exemplo, campanhas temáticas de datas
comemorativas.
Sanções administrativas, no âmbito de aplicação do GDPR, associadas ao

consentimento
Pag. 45
Fonte: Guarante Per La Protezione dei Dati Personali (GPDP). Disponível em: https://www.garanteprivacy.it/web/guest/home
/docweb/-/docweb-display/docweb/9435753
CNIL. Disponível em: https://lgpdnews.com/2022/01/cnil-multa-google-e-facebook/
Guarante Per La Protezione dei Dati Personali (GPDP). Disponível em: https://www.garanteprivacy.it/web/guest/home/docweb
/-/docweb-display/docweb/9435753
CNIL. Disponível em: https://epocanegocios.globo.com/Empresa/noticia/2019/01/google-e-multado-em-50-milhoes-sob-nova-reg
ra-de-dados-da-europa.html
Cumprimento de obrigação legal ou regulatória

A LGPD autoriza o tratamento de dados pessoais e de dados pessoais sensíveis caso
este ocorra para o cumprimento de obrigações legais ou regulatórias pelo controlador.
Aqui, o tratamento se faz necessário para atender ao interesse público, justificado
pela obrigação legal ou regulatória.
São exemplos de hipóteses de tratamento fundamentadas na base legal de cumprimento de
obrigação legal ou regulatória:
• Registro de empregados em meio eletrônico (eSocial) – Portaria nº 1.195/2019):
necessária a coleta de dados pessoais de empregados, inclusive dados pessoais
sensíveis, como algum tipo de deficiência, para registro de empregados no eSocial.
Pag. 46
• Procedimentos para prevenção à “Lavagem de Dinheiro” – Circular nº 3.461/2009 do
Banco Central do Brasil: exigem que as instituições financeiras adotem alguns
procedimentos de coleta e análises de dados pessoais para a prevenção dos crimes de
lavagem de dinheiro.
São requisitos de validade do consentimento, segundo a LGPD, ser livre,

escrito, informado, inequívoco e para uma finalidade determinada.
De acordo com a LGPD, cabe ao controlador o ônus da prova de que coletou o

consentimento em conformidade com a Lei.
O consentimento, coletado de forma escrita, deve estar em cláusula destacada

das demais.
A existência de uma determinação disposta em Portaria autoriza o tratamento de

dados pessoais com fundamento no art. 7º, inc. II, da LGPD.
Vimos como funciona o consentimento como base legal no tratamento de dados pessoais.
Veremos, na sequência, como a execução do contrato funciona e como isso pode ou não
impactar a nossa vida.
Pag. 47
Execução do contrato e exercício regular do direito
Execução de contrato ou procedimentos preliminares

Art. 7º, inc. V. O tratamento de dados pessoais poderá ser realizado nas seguintes
hipóteses: quando necessário para a execução de contrato ou de
procedimentos preliminares relacionados ao contrato do qual seja parte
o titular, a pedido do titular dos dados.
O inciso V permite o tratamento de dados pessoais sem o consentimento, pois se pauta
na liberdade contratual, na autonomia da vontade e no consensualismo informado,
traços próprios dos negócios jurídicos privados. Assim sendo, o legislador entendeu
pela desnecessidade de validação reiterada pelas partes.
A base legal do art. 7º, inc. V, provavelmente será mais adequada quando:
• Existir contrato entre o controlador e o titular de dados, e o controlador precise
realizar o tratamento dos dados pessoais para cumprir suas obrigações contratuais;
• Existir contrato entre o controlador e o titular, e o tratamento de dados pessoais
seja necessário para que o titular possa cumprir suas obrigações contratuais;
• Ainda não existe um contrato entre as partes, mas o titular interessado solicitou a
elaboração de uma proposta, e, para tanto, o controlador precisará tratar dados
pessoais. Isso se aplica mesmo que as partes não celebrem um contrato, desde que o
tratamento esteja no contexto de um contrato potencial com o titular.
São exemplos de hipóteses de tratamento fundamentadas na base legal de execução do

contrato ou procedimentos preliminares:
• O tratamento de dados pessoais inserido no âmbito das obrigações vinculadas ao
Pag. 48
contrato de trabalho, por exemplo, o tratamento de dados bancários do empregado para
pagamento de salário, e o tratamento de dados para a realização de cadastro nos
sistemas digitais da empresa;
• O tratamento de dados pessoais para o processamento de compra on-line. Nesse caso,
os agentes de tratamento envolvidos precisam tratar dados pessoais, como dados de
cartão de crédito e endereço de entrega, para finalização da compra e entrega do
produto;
• Solicitação de cotação para a contratação de seguro de carro. Nesse caso, a
seguradora precisa tratar alguns dados pessoais do titular para preparar a cotação,
como idade e endereço do motorista.
Exercício regular de direitos

Art. 7º, inc. VI. O tratamento de dados pessoais somente poderá ser realizado nas
seguintes hipóteses: para o exercício regular de direitos em processo
judicial, administrativo ou arbitral, esse último nos termos da Lei de
Arbitragem.
Art. 11, inc. II, d. O tratamento de dados pessoais sensíveis somente poderá ocorrer
nas seguintes hipóteses: sem o fornecimento de consentimento do titular, nas
hipóteses em que for indispensável para exercício regular de direitos,
inclusive em contrato e em processo judicial, administrativo e arbitral,
esse último nos termos da Lei de Arbitragem.
O art. 7° , VI consiste em ressalva fundamental para esclarecer que a proteção aos
dados pessoais não compromete o direito que as partes têm de produzir provas umas
contra as outras, ainda que estas se refiram a dados pessoais do adversário.
Os arts. 7º, inc. VI e 11, II, “d” apresentam ressalva fundamental para esclarecer
que a proteção aos dados pessoais não compromete o direito que as partes têm de
produzir provas umas contra as outras, ainda que estas se refiram a dados pessoais do
adversário.
É também com base nessa hipótese legal que pode ser justificada a retenção de dados
pessoais por período adicional ao término do tratamento, uma vez que pode haver a
necessidade de utilização dos dados em processo judicial e, para isso, pode-se
considerar como parâmetro de prazo de retenção o prazo prescricional aplicável.
São exemplos de hipóteses de tratamento fundamentadas na base legal do exercício
Pag. 49
regular de direitos:
• Apresentação de documentos em juízo, como contratos, comprovantes de pagamento,
notas fiscais, etc.
• Produção de prova em processo judicial, administrativo ou arbitral.
Quanto às bases legais previstas na LGPD, selecione a alternativa correta.
A base legal do art. 7º, inc. V, não é aplicável para o tratamento de dados
pessoais necessário à elaboração de proposta comercial solicitada pelo
titular.
A LGPD não autoriza o tratamento de dados pessoais que revelem estado de saúde
de empregado em fase de produção de provas em processo judicial.
Uma loja de roupas deseja enviar e-mails com informações sobre promoções e
novidades para seus clientes regulares; nesse caso, a base legal que autoriza
o tratamento é o art. 7º, inc. V.
Uma rede social deseja acessar a lista de amigos do Facebook de seu usuário;
nesse caso, não é possível realizar o tratamento de dados pessoais dos amigos
do usuário com fundamento no art. 7º, inc. V.
Nessa videoaula, foi possível verificar a execução de contrato e, também, como são
conhecidos os procedimentos preliminares relacionados ao contrato. Além disso, vimos
sobre o exercício regular de direitos quanto ao tratamento de dados pessoais.
Veremos, a seguir, o legítimo interesse e a proteção do crédito. Fique a par de tudo
o que está acontecendo nas Leis Gerais de Proteção de Dados. Venha com a gente!
Pag. 50
Legítimo interesse e proteção do crédito
Legítimo interesse
No inciso IX do art. 7º, a LGPD prevê uma das mais controversas hipóteses de
tratamento de dados: trata da necessidade de atendimento de interesses legítimos do
controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades
fundamentais do titular que exijam a proteção dos dados pessoais.
O legítimo interesse gera uma grande responsabilidade para os agentes de tratamento.
Isso porque tais agentes devem dedicar uma atenção especial no tocante ao registro de
informações para o caso de fiscalização futura. Nesse caso, será fundamental provar
que o tratamento era necessário com base no interesse legítimo.
Faz-se necessário, então, avaliar em que medida esse legítimo interesse pode ser
alegado diante dos direitos e das liberdades fundamentais do titular. Cabe apontar
que a própria LGPD não resolve, a priori, eventuais conflitos, já que não prevê a
prevalência dos direitos dos titulares de dados, mas somente daqueles em relação aos
quais a situação concreta exige proteção, sendo, portanto, um dispositivo bastante
aberto a interpretações.
O GDPR também prevê a base legal do legítimo interesse e as autoridades europeias,
como o ICO (International Commissioner’s Office), recomendam a elaboração do Teste de
Legítimo Interesse (LIA), composto pelos testes de finalidade, necessidade e
proporcionalidade, a fim de verificar a viabilidade da base legal do legítimo
interesse.
A LGPD estabelece algumas condições associadas à base legal do legítimo interesse:
• Tratar apenas os dados estritamente necessários para a finalidade pretendida (art.
10, §1º);
Pag. 51
• Adoção de medidas para garantir a transparência do tratamento de dados pessoais
(art. 10, §2º);
• Elaboração de relatório de impacto à proteção de dados pessoais (art. 10, §3º).
Exemplos de tratamento com fundamento no legítimo interesse

• Ações de marketing;
• Background checking;
• Aplicações de Inteligência Artificial;
• Prevenção e fraude;
• Backup;
• Monitoramento de empregados;
• Processos seletivos.
Proteção do crédito
A base legal da proteção do crédito é uma particularidade da LGPD, que, inclusive,
não está prevista no GDPR.
Os textos originais dos Projetos de Lei apresentados não previam a base legal da
proteção do crédito, sendo incluída em texto substitutivo com a seguinte proposta de
redação: “X – para proteção do crédito de acordo com o art. 43 da Lei nº 8.078, de 11
de setembro de 1990, que dispõe sobre a proteção do consumidor”. Em seguida, essa
redação foi alterada, sendo substituída pelo texto atual, sob justificativa de que a
proteção do crédito abrange outras legislações além do CDC, como a própria Lei do
Cadastro Positivo.
Observa-se que as alterações no texto legal, que acertadamente excluíram a referência
expressa ao CDC, permitiram maior amplitude de interpretação e aplicação da base
legal de proteção do crédito, que pode ser considerada para outras hipóteses além da
formação de cadastros de inadimplentes (art. 43, do CDC).
São exemplos de hipóteses de tratamento fundamentadas na base legal da proteção do
crédito:
• Criação de banco de dados de cadastros de inadimplentes e adimplentes e
compartilhamento desses dados para avaliação de risco de crédito;
• Qualquer tipo de procedimento de avaliação de crédito que realize o tratamento de
diversos tipos de dados pessoais dos titulares, como composição de patrimônio, dados
de compras e pagamentos, comportamento, etc. para a realização de operações de
Pag. 52
crédito (financiamentos, cheque especial, cartão de crédito, etc.).
Considerando o rol de bases legais previstas na LGPD, assinale a alternativa

correta:
A base legal de proteção do crédito é aplicável somente para o tratamento de

dados necessário para formação de bancos de dados e cadastros de consumidores,
na forma do art. 43, do CDC.
Na hipótese em que uma empresa utiliza tecnologia de reconhecimento facial

para identificar a biometria de seus colaboradores a fim de controle de
entrada e saída, o tratamento dos dados pessoais pode ser fundamentado no
legítimo interesse do controlador em manter a segurança do local e dos
colaboradores.
A proteção do crédito é a base legal mais adequada para a hipótese em que é

necessário realizar a análise de informações do titular para verificar a
viabilidade de oferecer financiamento de imóvel e o limite do crédito.
Uma empresa decide instalar câmeras de vigilância para manter a segurança de

todos no ambiente de trabalho; nesse caso, não será coletado nenhum tipo de
dado pessoal além das imagens dos colaboradores. De acordo com a LGPD, esse
tipo de tratamento de dados pessoais só é possível se a empresa coletar o
consentimento de todos os colaboradores.
Vimos sobre o legítimo interesse e citamos alguns exemplos de tratamento com

fundamento nesse assunto, além da proteção do crédito. Na próxima videoaula,
saberemos como é o tratamento de dados pessoais quando tratamos da proteção à vida e
para proteger os interesses vitais. Este é um tópico superespecial. Esperamos você
para descobrir junto conosco. Vamos?
Pag. 53
Proteção da vida e tutela da saúde
Proteção da vida
Art. 7º, inc. VII. O tratamento de dados pessoais somente poderá ser realizado nas
seguintes hipóteses: para a proteção da vida ou da incolumidade física do
titular ou de terceiro.
A mesma base legal está prevista no art. 11, inc. II, “e”, da LGPD, como fundamento
para o tratamento de dados pessoais sensíveis, dispensado o consentimento.
O objetivo é que esses dados sirvam para garantir a qualidade de vida da sociedade
como um todo, e que haja uma redução dos riscos no desenvolvimento de doenças,
visando atender ao interesse público.
Proteção da vida e interesses vitais

O GDPR prevê a possibilidade de tratamento de dados pessoais para proteger os
interesses vitais do titular de dados ou de terceiro.
O Recital 46 do GDPR limita a aplicação da base legal para o tratamento de dados
relacionados aos interesses essenciais para a vida de um indivíduo, que seriam, em
regra, questões de vida ou morte. De acordo com o ICO, essa base legal seria mais
apropriada para o tratamento médico de emergência.
São alguns exemplos de aplicação da base legal da proteção da vida:
• Tratamento de dados pessoais necessário aos protocolos adotados por
estabelecimentos para evitar a transmissão do vírus da COVID-19;
• Tratamento de dados pessoais para prestar socorro a vítimas de acidentes.
Tutela da saúde
Pag. 54
Art. 7º, inc. VIII. O tratamento de dados pessoais somente poderá ser realizado nas
seguintes hipóteses: para a tutela da saúde, exclusivamente, em
procedimento realizado por profissionais de saúde, serviços de saúde ou
autoridade sanitária.
A mesma base legal está prevista no art. 11, inc. II, “f”, da LGPD, como fundamento
para o tratamento de dados pessoais sensíveis, dispensado o consentimento.
Cabe destacar que a LGPD veda o compartilhamento de dados pessoais sensíveis
referentes à saúde com o objetivo de obter vantagem econômica, exceto nas seguintes
hipóteses: (i) de prestação de serviços de saúde, de assistência farmacêutica e de
assistência à saúde, incluídos os serviços auxiliares de diagnose e terapia, em
benefício dos interesses dos titulares de dados; (ii) para permitir a portabilidade
de dados quando solicitada pelo titular e; (iv) para permitir as transações
financeiras e administrativas resultantes do uso e da prestação de tais serviços de
saúde.
Exemplos de aplicação da base legal da tutela da saúde

Tratamento ou procedimento realizado por profissional de saúde, por exemplo, coleta
de exame de sangue ou procedimento cirúrgico.
Serviços de saúde como envio de dados para análise laboratorial.
Pag. 55
Assim como a LGPD, o GDPR limita a base legal de proteção da vida apenas para
o tratamento de dados realizado por profissionais de saúde no atendimento do
titular.
Caso uma empresa realize a coleta de exames de PCR negativo ou comprovante de

vacinação para permitir o retorno ao trabalho presencial, o tratamento de
dados pessoais é autorizado pela base legal da proteção da vida.
Antes de realizar o exame clínico, o titular precisa realizar um cadastro na

recepção da clínica; nesse caso, o tratamento de dados pessoais se fundamenta
na tutela à saúde, desde o cadastro até a cirurgia.
Uma empresa de eventos não pode coletar dados de exames e histórico de

vacinação para permitir a entrada de clientes com fundamento na base legal de
proteção da saúde; seria necessário o consentimento do titular.
Vimos que a proteção dos dados pessoais é de suma importância na LGPD. Saberemos como
é realizado o tratamento e como se dá o uso compartilhado de dados necessários à
execução de políticas públicas. São informações que você não deve perder, pois são
conhecimentos únicos para você que está com a gente. Fique sempre informado; isso
poderá fazer a diferença para você e seu empreendimento.
Pag. 56
Execução de políticas públicas
Execução de políticas públicas pela Administração Pública

Art. 7º, inc. III. O tratamento de dados pessoais somente poderá ser realizado nas
seguintes hipóteses: pela administração pública, para o tratamento e o uso
compartilhado de dados necessários à execução de políticas públicas
previstas em leis e regulamentos ou respaldadas em contratos, convênios ou
instrumentos congêneres, observadas as disposições do Capítulo IV.
A base legal também pode ser utilizada para o tratamento de dados pessoais sensíveis,
sem a necessidade de obtenção do consentimento do titular, conforme art. 11, inc. II,
alínea “b”, da LGPD.
Caso: Portaria RFB e ANPD

Em 14 de abril de 2022, a Secretaria Especial da Receita Federal do Brasil publicou a
Portaria nº 167, autorizando o Serviço Federal de Processamento de Dados a
disponibilizar acesso, para terceiros, de dados pessoais, com fundamento no art. 7º,
inc. III, da LGPD.
“Art. 1º. § 1º A disponibilização de acesso a dados e informações a que se refere
esta Portaria destina-se à complementação de políticas públicas voltadas ao
fornecimento de informações à sociedade por meio de soluções tecnológicas
complementares às oferecidas pela RFB.”
Logo após a publicação da Portaria, a ANPD apresentou nota oficial em que informa a
instauração de processo administrativo para fiscalização da Portaria RFB nº 167, em
cumprimento com o dever de zelar pela proteção de dados pessoais.
Debate sobre a amplitude de aplicação da base legal e limitação da interpretação
sobre “políticas públicas”.
Pag. 57
Realização de estudos por órgão de pesquisa
Art. 7º, inc. IV. O tratamento de dados pessoais somente poderá ser realizado nas
seguintes hipóteses: para a realização de estudos por órgão de pesquisa,
garantida, sempre que possível, a anonimização dos dados pessoais.
A presente base legal também é aplicável para o tratamento de dados pessoais
sensíveis (art. 11, II, “c”) e é essencial para o desenvolvimento econômico,
tecnológico e para a inovação, fundamentos da disciplina da proteção de dados
pessoais (art. 2º. inc. V).
Em maio de 2022, a ANPD publicou o estudo técnico “A LGPD e o tratamento de dados

pessoais para fins acadêmicos e para realização de estudos por órgão de pesquisa”.
Destacamos, a seguir, alguns pontos desse estudo:
• A dispensa do consentimento para os fins da LGPD não afasta a necessidade de
obtenção do consentimento dos participantes da pesquisa quando exigido pelas normas e
os padrões éticos aplicáveis;
• Para ser possível a utilização da base legal, os estudos deverão ser desenvolvidos,
exclusivamente, por órgãos de pesquisa, na definição do art. 5º, inc. XVIII, da LGPD
(ex.: instituições de ensino superior públicas e privadas sem fins lucrativos, IBGE,
IPEA, etc.);
• Liberdade para que os agentes de tratamento escolham as medidas de prevenção e
segurança apropriadas para a proteção de dados pessoais em cada contexto, não se
limitando à anonimização.
Prevenção à fraude e à segurança do titular

Art. 11, II, “g”. O tratamento de dados pessoais sensíveis somente poderá ocorrer nas
seguintes hipóteses: sem fornecimento de consentimento do titular, nas
hipóteses em que for indispensável para garantia da prevenção à fraude e à
segurança do titular, nos processos de identificação e autenticação de
cadastro em sistemas eletrônicos, resguardados os direitos mencionados no
art. 9º da LGPD e exceto no caso de prevalecerem direitos e liberdades
fundamentais do titular que exijam a proteção dos dados pessoais.
Nesse ponto, destaca-se o tratamento de dados biométricos para autenticação e
Pag. 58
identificação do titular em meios eletrônicos. Assim, tem-se como exemplos de
hipóteses de tratamento em fundamentadas no art. 11, II, “g”:
• Procedimentos de onboarding digital em instituições financeiras para permitir a
abertura de conta digital utilizando aplicativo de celular. Nesse caso, é necessário
o tratamento de dados biométricos para autenticação da identidade do usuário e
prevenção de fraudes.
• Confirmação de transações bancárias por meio de reconhecimento facial ou impressão
digital.
A base legal de execução de políticas públicas é aplicável para o tratamento

de dados realizados por governo federal, estadual e municipal, para executar
políticas públicas previstas em lei.
No caso de aplicação da base legal de realização de estudos por órgão de

pesquisa, a adoção de técnicas de anonimização não é obrigatória.
Instituições de pesquisa privadas, e com fins lucrativos, podem realizar

pesquisas cujo tratamento de dados pessoais se fundamenta no Art. 7º, inc. IV.
A base legal de prevenção à fraude e à segurança do titular em sistemas

eletrônicos é adequada para fundamentar o tratamento de dados biométricos em
sistemas de controle de entrada e saída de funcionários em empresas.
Finalizamos este nosso primeiro tema, mas nossa jornada neste mundo espetacular do
conhecimento sobre o tratamento dos dados pessoais está apenas começando. Esperamos
você para continuarmos juntos.
Vamos conhecer ainda mais sobre a Lei Geral de Proteção de Dados e sobre a Gestão de
Riscos?
Pag. 59
Adequação à Lei Geral de Proteção de
Dados
5 | Cultura de privacidade e proteção de

dados
• Conhecer a revolução 4.0 e suas implicações.
• Entender o papel da ANPD na proteção de dados.
• Identificar os acordos de cooperação e guias da ANPD.
• Reconhecer as fases do programa de adequação à LGPD.
• Identificar as vantagens e os desafios do programa de adequação.
• Conhecer os componentes que integram o plano de resposta a incidentes.
Revolução 4.0
Revolução 4.0 e suas implicações, GDPR e legislações brasileiras

• Indústria 4.0 é um conceito que representa a automação industrial e a integração de
diferentes tecnologias como inteligência artificial, robótica, internet das coisas e
computação em nuvem, com o objetivo de promover a digitalização das atividades
industriais, melhorando os processos e aumentando a produtividade.
• Principais tecnologias: inteligência artificial, computação em nuvem, big data,
cyber segurança, internet das coisas, robótica avançada, manufatura digital,
integração de sistemas, digitalização.
Revolução 4.0 e suas implicações

Pag. 60
“Era dos Dados”
• Por que os dados são considerados tão importantes nos dias atuais? A partir deles,
é possível entender o comportamento dos consumidores, identificar padrões, definir
posicionamentos e otimizar investimentos necessários por meio da sua análise.
• O desenvolvimento da economia digital impulsionou um maior fluxo de dados,
principalmente relacionados às pessoas físicas. Assim, tornou-se necessário regular
de forma específica a relação entre as empresas e os indivíduos da sociedade digital
no tocante à proteção da privacidade, mas também da liberdade, aliada à
transparência.
• A crescente importância econômica e social dos dados estimula uma ampliação dos
conflitos de interesses envolvendo o tema, outra razão que justifica a elaboração da
Lei Geral de Proteção de Dados (LGPD).
• A LGPD foi inspirada no Regulamento Geral de Proteção de Dados (GDPR) da União
Europeia, de 25/05/2018. O GDPR se destina a todos que comercializam bens e serviços
junto a Estados-membros da UE, ainda que de forma gratuita. É muito abrangente e
afeta quase todas as organizações com base nesse território, bem como todas as
organizações que atuam na UE, mesmo que sua sede seja no exterior.
Quadro Legislativo do Brasil

• Art. 5° CF/1988: X – intimidade e vida privada, XII – previsão genérica de
inviolabilidade de dados e LXXII – Habeas Data.
• CDC/1990 (Pioneiro/Tímido): Art. 43 garantia de livre acesso aos dados pessoais
pelo consumidor e consentimento expresso.
• CC/2002: Art. 21 – sem inovação, praticamente igual CF/88.
• Marco Civil (2014/ Dec.2016): Marco Civil da Internet – Rígido para coleta e
tratamento.
• Consentimento prévio, expresso, específico. SEM ressalvas a exceções ao
consentimento (interesse legítimo).
• Lei de Acesso à Informação (2011); Dec. Lei 8.135/2013; Lei de Crimes da
Informática.
• (2012); Comércio Eletrônico Dec. Lei 7.962/2013.
• EC 115/2022.
Pag. 61
A LGPD não foi a primeira legislação a tratar sobre privacidade no Brasil.
Baseada em um novo fenômeno tecnológico – a digitalização das informações e a

utilização dos dados para tornar a indústria mais eficiente –, a revolução 4.0
visa reduzir falhas, aumentar a sustentabilidade da indústria e a
lucratividade.
No Brasil, a LGPD foi inspirada no GDPR, legislação americana sobre

privacidade e proteção de dados, que entrou em vigor a partir de 25.05.2018,
tendo como objetivo a proteção dos dados pessoais, ampliando a transparência
no processo de utilização destes.
A Emenda Constitucional 115/2022 elencou a proteção de dados pessoais como

garantia fundamental.
Vimos um pouco sobre a Revolução 4.0 e suas implicações e também sobre a

Regulamentação Geral de Proteção de Dados (GDPR), em que se mencionou a importância
da “Era dos Dados”.
Na próxima videoaula, veremos as competências da ANPD e como isso irá impactar a
construção da cultura de privacidade e proteção de dados no Brasil.
O papel da ANPD
O papel da ANPD na disseminação da cultura de proteção de dados

Pag. 62
• A ANPD é o órgão da administração pública federal responsável por zelar pela
proteção de dados pessoais e por regulamentar, implementar e fiscalizar o cumprimento
da LGPD no Brasil.
• A ANPD foi criada pela Medida Provisória n. 869, de 27 de dezembro de 2018,
posteriormente convertida na Lei n. 13.853, de 14 de agosto de 2019. Por sua vez, o
Decreto 10.474, de 26 de agosto de 2020, aprovou a Estrutura Regimental e o Quadro
Demonstrativo dos Cargos em Comissão e das Funções de Confiança da ANPD, com entrada
em vigor na data de publicação da nomeação do Diretor-Presidente da ANPD no Diário
Oficial da União, ocorrida em 06 de novembro de 2020, quando, então, a ANPD
efetivamente iniciou as suas atividades.
O papel da ANPD na construção da cultura de privacidade e proteção de dados no

Brasil.
O art. 55-J da LGPD estabelece as principais competências da ANPD, dentre as quais se
destacam as seguintes:
• Promover na população o conhecimento das normas e das políticas públicas sobre
proteção de dados pessoais e das medidas de segurança;
• Estimular a adoção de padrões para serviços e produtos que facilitem o exercício de
controle dos titulares sobre seus dados pessoais, os quais deverão levar em
consideração as especificidades das atividades e o porte dos responsáveis;
• Promover ações de cooperação com autoridades de proteção de dados pessoais de
outros países, de natureza internacional ou transnacional;
• Editar regulamentos e procedimentos sobre proteção de dados pessoais e privacidade,
bem como sobre relatórios de impacto à proteção de dados pessoais para os casos em
que o tratamento representar alto risco à garantia dos princípios gerais de proteção
de dados pessoais previstos na LGPD;
• Ouvir os agentes de tratamento e a sociedade em matérias de interesse relevante e
prestar contas sobre suas atividades e planejamento;
• Deliberar, na esfera administrativa, em caráter terminativo, sobre a interpretação
da LGPD, as suas competências e os casos omissos;
• Articular-se com as autoridades reguladoras públicas para exercer suas competências
em setores específicos de atividades econômicas e governamentais sujeitas à
regulação.
Peticionamento do titular contra o controlador

Pag. 63
Fonte: Portal da Autoridade Nacional de Proteção de Dados. Acesso em: 24 de maio de 2022.
ANPD
Poder Regulamentar ANPD.
Art. 55-J da LGPD, § 1º Ao impor condicionantes administrativas ao tratamento de
dados pessoais por agente de tratamento privado, sejam eles limites, encargos ou
sujeições, a ANPD deve observar a exigência de mínima intervenção, assegurados os
fundamentos, os princípios e os direitos dos titulares previstos noart. 170 da
Constituição Federale nesta Lei.(Incluído pela Lei nº 13.853, de 2019)
Fonte: http://www.planalto.gov.br/ccivil_03/Constituicao/Constituicao.htm#art170
• § 2º Os regulamentos e as normas editados pela ANPD devem ser precedidos de

consulta e audiência públicas, bem como de análises de impacto regulatório.
(Incluído pela Lei nº 13.853, de 2019)
• § 3º A ANPD e os órgãos e entidades públicos responsáveis pela regulação de setores
específicos da atividade econômica e governamental devem coordenar suas
atividades, nas correspondentes esferas de atuação, com vistas a
assegurar o cumprimento de suas atribuições com a maior eficiência e
promover o adequado funcionamento dos setores regulados, conforme legislação
Pag. 64
específica, e o tratamento de dados pessoais, na forma desta Lei.
(Incluído pela Lei nº 13.853, de 2019)
Fonte: http://www.planalto.gov.br/ccivil_03/_Ato2019-2022/2019/Lei/L13853.htm#art2
Todas as afirmativas trazem uma obrigação da ANPD prevista no art. 55-J da

LGPD, exceto:
Estimular a adoção de padrões para serviços e produtos que facilitem o

exercício de controle dos titulares sobre seus dados pessoais, não devendo
levar em consideração as especificidades das atividades e o porte dos
responsáveis.
Promover ações de cooperação com autoridades de proteção de dados pessoais de

outros países, de natureza internacional ou transnacional.
Editar regulamentos e procedimentos sobre proteção de dados pessoais e

privacidade, bem como sobre relatórios de impacto à proteção de dados pessoais
para os casos em que o tratamento representar alto risco à garantia dos
princípios gerais de proteção de dados pessoais previstos na LGPD.
Ouvir os agentes de tratamento e a sociedade em matérias de interesse

relevante e prestar contas sobre suas atividades e planejamento.
Identificamos o papel da ANPD na disseminação da cultura de proteção de dados. Na

sequência, veremos exemplos de acordos de cooperação e guias firmados pela Agência
Nacional de Proteção de Dados.
Que tal entender um pouco mais sobre a ANPD?
Pag. 65
Acordos de cooperação técnica
Exemplos de Acordos de Cooperação e Guias já firmados pela ANPD

• Um dos instrumentos utilizados para promover uma maior coordenação e cooperação com
órgãos com competências correlatas é a celebração de Acordos de Cooperação Técnica
(ACTs). Esses acordos permitem a formalização de parcerias entre a ANPD e as
organizações da administração pública e da sociedade civil para alcançar objetivos de
interesse público das organizações envolvidas que não envolvam a transferência de
recursos financeiros.
• Os objetivos dos Acordos de Cooperação Técnica firmados pela ANPD são variados, mas
buscam principalmente: (i) realizar ações de interesse comum no que diz respeito à
proteção de dados pessoais; (ii) manter uma cooperação técnica científica de forma
recíproca com os parceiros da Autoridade para desenvolver ações e produzir materiais
educativos sobre os temas que são objeto do acordo; e (iii) apoiar institucionalmente
as entidades e produzir, de forma conjunta e coordenada, estudos, análises e
pesquisas sobre proteção de dados pessoais.
Guias orientativos
• Os documentos têm como objetivo orientar e trazer esclarecimentos sobre
determinados temas da legislação sobre conceitos relacionados à proteção de dados
pessoais.
• É um instrumento que aproxima os titulares, os agentes de tratamento e a ANPD, bem
como promove a disseminação do conhecimento relacionado aos assuntos por ele
tratados. Assim, os guias auxiliam a ANPD a demonstrar entendimentos e aprofundar
conceitos de uma forma simplificada.
ANPD e SENACON
Pag. 66
• O acordo prevê ações conjuntas nas áreas de proteção de dados pessoais e defesa do
consumidor e inclui intercâmbio de informações, uniformização de entendimentos,
cooperação quanto a ações de fiscalização, desenvolvimento de ações de educação,
formação e capacitação e elaboração de estudos e pesquisas.
• Ao promover a cooperação e fomentar o diálogo interinstitucional, o ACT também
promove um canal efetivo entre os diferentes órgãos que recebem denúncias sobre
vazamentos de dados e impulsiona uma rápida atuação do poder público na proteção dos
direitos dos cidadãos. Um dos resultados do acordo até o momento foi a publicação do
guia orientativo “Como proteger seus dados pessoais: Guia do Núcleo de Proteção de
Dados do Conselho Nacional de Defesa do Consumidor em parceria com a ANPD e a
SENACON”.
Fonte: https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/arquivos-de-documentos-de-publicacoes/guia-do-consumidor_c
omo-proteger-seus-dados-pessoais-final.pdf
ANPD e CADE
• O objetivo principal do Acordo é instituir a cooperação e o contínuo diálogo com a
finalidade de promover ações a serem adotadas pela ANPD e pelo CADE quando
verificadas situações de infrações à ordem econômica,bem como casos de concentração
econômicaque envolvam dados pessoais, como,por exemplo,casosde Atos de
Concentraçãoque envolvem atransferência de dadospessoais.
• Desse modo, o CADE e a ANPD passarão a compartilhar informações, conhecimentos e
experiências nas respectivas áreas de atuação, além de promover ações
educativas conjuntas sobre procedimentos e práticas de difusão da livre
concorrência nos serviços de proteção de dados pessoais.
ANPD e NIC.br
• OAcordo estabelece o intercâmbio de informações entre a ANPD e o NIC.br.Além disso,
prevê a realização de ações de interessecomumdas organizaçõesno que diz
respeito à proteção de dados pessoais e à segurança da informação, a mútua
cooperação técnica científica voltada para o desenvolvimento de ações
eaprodução de materiais deestudos ecapacitação e conscientizaçãosobre
proteçãode dados pessoais, segurança da informação, privacidade nas redes
e tecnologia, além da previsão de apoio institucional entre as entidades.
• Um dos resultados do acordo até o momento foi a publicação dos fascículos“Vazamento
Pag. 67
de Dados”e“Proteção de Dados”,produzidos em parceria com o NIC.br e a ANPD.
Fonte: https://cartilha.cert.br/fasciculos/vazamento-de-dados/fasciculo-vazamento-de-dados.pdf
https://cartilha.cert.br/fasciculos/protecao-de-dados/fasciculo-protecao-de-dados.pdf
ANPD e TSE
• O objetivo do acordo é alinhar as diretrizesda LGPDàs leis eleitorais, produzir
conjuntamente materiais educativos e conciliar a proteção de dados pessoais ao
cenário eleitoral.
• Entre as atividades a serem desenvolvidas está o compartilhamento de estudos,
conhecimentos e experiências nas respectivas áreas de atuação, além da
realização de pesquisas e ações de capacitação, que servirão de subsídio
para a elaboração de material orientativo referente à aplicação das disposições
da LGPD no âmbito eleitoral.
• Um dos resultados do acordo até o momento foi a publicação do guia
orientativo“Aplicação da Lei geral de proteção de dados pessoais (LGPD) por agentes
de tratamento no contexto eleitoral”.
https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/guia_lgpd_final.pdf
Pag. 68
A ANPD, até o presente momento, já firmou acordos de cooperação técnica e

elaborou guias orientativos.
A ANPD e o STF realizaram um acordo de cooperação técnica com o intuito de

alinhar as diretrizes da LGPD às leis eleitorais, produzir conjuntamente
materiais educativos e conciliar a proteção de dados pessoais ao cenário
eleitoral.
Os guias orientativos são um importante instrumento que aproxima os titulares,

os agentes de tratamento e a ANPD, bem como promovem a disseminação do
conhecimento relacionado aos assuntos por ele tratados.
Um dos objetivos dos acordos de cooperação técnica é o de apoiar

institucionalmente as entidades e produzir, de forma conjunta e coordenada,
estudos, análises e pesquisas sobre proteção de dados pessoais.
Conhecemos o intercâmbio de informações da ANPD com a SENACON, a CADE, NIC.br e o

TSE. Na próxima videoaula, vamos juntos conhecer as três etapas iniciais do programa
de adequação à LGPD.
Fases iniciais do programa de adequação à LGPD
Programa de Adequação à LGPD
Pag. 69
1ª etapa: Kick-off: reunião virtual com os gestores das áreas (podendo ser aberta a
todos os colaboradores que queiram participar) para apresentação dos membros.
• Objetivo: compreender as dores de cada cliente, personalizando e ajustando as
etapas do programa conforme as necessidades de cada empresa.
2ª etapa: Workshop: sobre privacidade e proteção de dados para fins de
conscientização com material de apoio.
• Tópicos abordados: introdução, principais conceitos da LGPD, bases legais de
tratamento de dados pessoais, princípios, direitos dos titulares, panorama
geral do Programa de Adequação à LGPD, recomendações de segurança.
• Objetivo do workshop: nivelamento do conhecimento e engajamento das áreas, criando
uma cultura de proteção e privacidade de dados interna.
3ª etapa: Data Mapping: envio de questionários e realização de entrevistas com as

áreas da empresa, a fim de levantar e mapear a existência das operações de
tratamento de dados pessoais, a sensibilidade dos dados coletados, o ciclo
dos dados, gaps, dentre outros aspectos.
Diferentes formas de mapeamento e de questionários.
• Objetivos do data mapping:
(i) inventário do tratamento de dados pessoais em relação aos processos e às áreas de
negócio, contendo atribuição das bases legais para tratamento e avaliação de riscos
jurídicos; e
(ii) análise dos procedimentos adotados por todas as áreas da empresa em relação à
coleta, manutenção, tratamento e eliminação dos dados para que sejam elaborados as
Políticas e os Documentos Regulatórios exigidos na lei.
Pag. 70
A LGPD exige que o mapeamento de dados seja realizado por meio do uso de
plataformas e softwares, em formato automatizado.
Não há uma ordem específica a ser seguida pelo Programa de Adequação à LGPD,
consoante as disposições da LGPD.
O workshop inicial é uma etapa importante do Programa de Adequação,

contribuindo para o nivelamento e o engajamento dos colaboradores.
Um dos objetivos do data mapping é realizar uma análise dos procedimentos

adotados por todas as áreas da empresa em relação à coleta, manutenção,
tratamento e eliminação dos dados, para que sejam elaborados as Políticas e os
Documentos Regulatórios exigidos na lei.
Citamos as três fases do programa de adequação à LGPD (Kick-off, Workshop, Data

Mapping) e seus respectivos objetivos. Conheceremos, na sequência, as vantagens e os
desafios do Programa de Adequação.
Vantagens e desafios do programa de adequação
Vantagens do Programa de Adequação

• Estar em conformidade com a lei.
• Maior segurança para clientes, usuários, consumidores: com a implementação de uma
Pag. 71
série de ferramentas tecnológicas de segurança, as empresas conseguem evitar
incidentes de segurança da informação envolvendo dados pessoais.
• Avaliações positivas junto a parceiros de negócios.
• Maior credibilidade junto a usuários, clientes e investidores.
• Oportunidade de geração de valor.
• Organização e melhoria dos processos: mudanças significativas nas empresas após o
Programa de Adequação à LGPD trarão maior organização, controle,
centralização e minimização de dados, que tendem a levar ao surgimento
de insights estratégicos, com o refinamento dos processos de tratamento e
utilização de dados.
• Ganho de valor de mercado.
• Aumento de competitividade no mercado = DIFERENCIAL COMPETITIVO.
Desafios de implementação
• Estrutura ainda deficitária da ANPD.
• Pouca divulgação do tema pelo poder
público.
• Pontos pendentes de regulamentação pela
Autoridade Nacional de Proteção de Dados
(ANPD).
• Resistência a mudanças de comportamento.
• Dificuldade na assimilação e na
internalização de hábitos e práticas
Fonte: Revista Algomais. Acesso: https://r
protetivas.
evista.algomais.com/apenas-3-entre-10-empr
• Falta de recursos disponíveis das esas-estao-adequadas-a-lgpd-diz-pesquisa/
empresas para investimento.
Desafios pós Programa de Adequação

• A realização de um projeto de adequação é fundamental, mas não constitui o fim da
jornada de criação de uma cultura de privacidade e proteção de dados pessoais, sendo
apenas um primeiro passo.
• Nesse sentido, é de fundamental importância não só implementar novas rotinas, mas
mantê-las vivas e atualizadas. Para alcançar esse resultado, são necessárias a
Pag. 72
revisão periódica de documentos, a definição de responsabilidades e a capacitação dos
colaboradores com treinamentos regulares.
• Caráter híbrido das recomendações: consultoria jurídica + técnica: importante
contar com o auxílio de profissionais de diversas áreas da própria empresa, além da
contratação de escritório de advocacia e de prestador de serviços de tecnologia da
informação especializados em proteção de dados.
A LGPD não define expressamente a periodicidade das revisões dos documentos

regulatórios.
Após a elaboração dos documentos e das políticas, não há necessidade de

qualquer atualização.
O Programa de Adequação traz maior segurança para clientes, usuários,

consumidores, já que, com a implementação de uma série de ferramentas
tecnológicas de segurança, as empresas conseguem evitar incidentes de
segurança da informação envolvendo dados pessoais.
Alguns dos desafios de implementação enfrentados pela empresa são a estrutura

ainda deficitária da ANPD e a ausência de regulamentação de pontos da LGPD
pela autoridade.
Dentre as vantagens do Programa de Adequação temos a competitividade do Mercado, que

é um diferencial competitivo.
Veremos a importância do treinamento de resposta a incidentes. Vamos lá!
Pag. 73
Treinamento de resposta a incidentes
Treinamento de resposta a incidentes

• Em meio a inúmeros incidentes envolvendo vazamento de dados pessoais, um importante
treinamento de conscientização dos colaboradores é o de Resposta a Incidentes.
• Objetivo: o treinamento visa esclarecer aos colaboradores sobre os procedimentos
para evitar ou mitigar prejuízos à empresa e aos titulares de dados pessoais, em
harmonia com as disposições da LGPD, as boas práticas internacionais e
recomendações da própria ANPD, sem prejuízo das demais normas vigentes.
• Incidente: qualquer destruição, perda, modificação, divulgação não autorizada ou
acesso, de forma acidental ou ilegal, que envolva dados pessoais: perda de
dados/hardware; dados/ hardware roubados; acessos não autorizados;
compartilhamento indevido; tentativa fraudulenta de obtenção de
informações confidenciais (phishing).
Plano de Resposta a Incidentes:

1) Monitoramento de eventos e detecção de incidentes;
2) Comunicação interna e alerta de incidentes;
3) Análise de incidentes;
4) Resposta a incidentes;
5) Documentação de incidentes;
6) Notificações; e
7) Melhorias.
Responsável pela Resposta a Incidentes: DPO ou Encarregado:
Pag. 74
• Atualizar os documentos regulatórios.
• Conscientização dos colaboradores.
• Coordenar o Plano de Resposta a Incidentes.
• Envolver profissionais com experiência multissetorial.
• Canal de contato.
Suporte ao DPO: equipe multissetorial:
• Investigação: especialista em TI e/ou Segurança da Informação.
• Comunicação interna e alerta: normalmente equipe de DP/RH.
• Auxílio na documentação para reduzir riscos administrativos, penais e civis:
jurídico.
O processo de implementação de um sistema de segurança de resposta a

incidentes é uma tarefa permanente, ou seja, deve ser constantemente
atualizado, buscando sempre melhorias.
Somente o DPO tem funções previamente definidas nos procedimentos de Resposta

a Incidentes.
A detecção de incidentes pode ocorrer interna ou externamente.
É recomendada a criação de um canal de comunicação direta com o Encarregado,

que pode ser feita pelo simples fornecimento de e-mail ou telefone de contato
corporativos.
Compreendemos que um treinamento de resposta a incidentes (vazamento de dados

pessoais) é uma prática que ajuda a evitar os prejuízos às empresas e aos titulares
de dados pessoais.
No próximo módulo, veremos o mapeamento de dados pessoais e o Record Of Processing
Activities (ROPA).
Pag. 75
Dados
6 | Documentos regulatórios, políticas e

boas práticas
• Conhecer a técnica de mapeamento de dados pessoais.
• Conhecer a política de privacidade, os termos e as condições de uso.
• Entender a importância do Relatório de Impacto à Proteção de Dados Pessoais.
• Identificar as adoções de políticas de boas práticas e governança.
Mapeamento de dados pessoais e o ROPA
Mapeamento de dados pessoais

O mapeamento de dados é a primeira etapa para adequação de uma organização à LGPD e
visa identificar e compreender o cenário atual do fluxo de dados pessoais.
Um mapeamento eficiente dos dados pessoais de uma organização abrange os seguintes
pontos:
• Compreensão do fluxo informacional a fim de identificar a origem dos dados pessoais
e seu caminho dentro das áreas da organização ou compartilhamento para terceiros;
• Descrição do fluxo informacional, indicando todas as etapas do ciclo de vida do
dado pessoal;
• Identificação dos elementos-chave do fluxo informacional (tipos de dados pessoais
Pag. 76
tratados, formatos de armazenamento, transferências, base legal, etc.).
Técnicas de mapeamento de dados pessoais

O mapeamento de dados pessoais pode ocorrer de diversas formas. É possível coletar
informações a partir de documentos, questionários, entrevistas ou observando as
atividades dos colaboradores.
Independentemente da técnica adotada, deve-se buscar a coleta de todos os subsídios
necessários para a elaboração do Registro das Operações de Tratamento de Dados
Pessoais (ROPA).
Registro das Operações de Tratamento de Dados (ROPA)
O ROPA é um documento regulatório exigido pelo art. 37 da LGPD, que dispõe: “o
controlador e o operadores devem manter registro das operações de
tratamento de dados pessoais que realizarem, especialmente quando baseado
no legítimo interesse”.
Em regra, o ROPA contém, no mínimo, a área responsável pela operação de tratamento,
finalidade, dados pessoais e dados pessoais sensíveis tratados, categoria dos
titulares envolvidos, origem dos dados pessoais, localização e armazenamento, fluxo
dos dados pessoais na organização, compartilhamento com terceiros, sistemas
utilizados no tratamento dos dados pessoais, medidas de segurança adotadas e base
legal adotada.
O preenchimento do ROPA é feito com base nos subsídios fornecidos na etapa de

mapeamento. Além da exigência legal, esse documento é importante para fundamentar a
governança de dados na organização, servindo como um dos passos para demonstrar a
conformidade com a LGPD.
Conforme disposto no art. 37 da LGPD, todos os agentes de tratamento, controladores e
operadores, devem manter o ROPA. Segundo o art. 9º, caput, da Resolução CD/ANPD nº
02/2022, os agentes de tratamento de pequeno porte, como microempresas, empresas de
pequeno porte e startups, também devem cumprir a obrigação de manutenção do registro
das operações de tratamento, entretanto, a Resolução prevê a possibilidade de a ANPD
disponibilizar um modelo de registro simplificado para esses agentes (art. 9º,
parágrafo único).
Pag. 77
Acerca do mapeamento e do Registro das Operações de Tratamento de Dados

(ROPA), assinale a alternativa incorreta:
São conteúdos mínimos do ROPA: responsáveis pelo tratamento de dados pessoais,

finalidade, tipos de dados pessoais, categoria dos titulares, origem dos dados
pessoais, localização e armazenamento, fluxo dos dados pessoais na
organização, compartilhamento com terceiros, sistemas utilizados no tratamento
dos dados pessoais, medidas de segurança adotadas e base legal adotada.
O mapeamento de dados visa compreender o estado atual do fluxo de dados

pessoais de uma organização e pode ser realizado por diversos métodos, entre
eles, sistemas automatizados.
Apenas o controlador é responsável por realizar o preenchimento do ROPA, nos

termos do art. 37 da LGPD.
De acordo com o art. 37 da LGPD, todos os agentes de tratamento devem manter o

registro das operações de tratamento de dados pessoais.
Identificamos que o mapeamento eficiente de dados é a primeira etapa para a adequação

de uma organização à LGPD. Veremos, a seguir, a política de privacidade e termos de
uso do tratamento de dados.
Vamos conhecer um pouco mais?
Pag. 78
Política de privacidade, termos e condições de uso
Política de Privacidade
Art. 9º. O titular tem direito ao acesso facilitado às informações sobre o tratamento
de seus dados, que deverão ser disponibilizadas de forma clara, adequada e ostensiva
acerca de, entre outras características previstas em regulamentação para o
atendimento do princípio do livre acesso:
I - finalidade específica do tratamento;
II - forma e duração do tratamento, observados os segredos comercial e industrial;
III - identificação do controlador;
IV - informações de contato do controlador;
V - informações acerca do uso compartilhado de dados pelo controlador e a finalidade;
VI - responsabilidades dos agentes que realizarão o tratamento; e
VII - direitos do titular, com menção explícita aos direitos contidos no art. 18
desta Lei.
• A Política de Privacidade é o documento que informa como os dados pessoais são
tratados pela organização. Nesse documento, são expostas as finalidades, medidas de
segurança, informações sobre o compartilhamento de dados, retenção e descarte, bases
legais e informações de contato.
• A Política de Privacidade cumpre com as exigências da LGPD quanto aos princípios da
transparência (art. 6º, inc. VI) e livre acesso a informações por parte do titular
(art. 6º, inc. IV).
• Cabe ressaltar que o princípio da transparência, na LGPD, é limitado pelos segredos
comercial e industrial de uma organização.
Termos e Condições de Uso
Pag. 79
É o instrumento contratual que vincula as partes para prestação de serviços,
normalmente, por meio de uma plataforma digital. Os Termos e Condições de Uso
informam os direitos e as obrigações do usuário na plataforma, sendo possível
encontrar disposições sobre cadastro, limitações, responsabilidades e atividades
vedadas, por exemplo.
Em suma, em regra, os Termos e Condições de Uso ou Termos de Serviço são contratos
que governam a relação jurídica entre o usuário final e o provedor de serviços
on-line. Considerando que os usuários geralmente não têm a oportunidade de negociar
as cláusulas dos termos, esses documentos se encaixam na categoria de contratos de
adesão (art. 54, CDC).
Termos e Condições de Uso: click-wrap agreements e browse-wrap agreements

Quanto à forma de obtenção do aceite, os Termos e Condições de Uso podem ser
classificados como click-wrap agreements ou browse-wrap agreements.
• Click-wrap agreements: o usuário acessa o conteúdo dos termos de uso e, ao final,
tem a opção de aceitá-los mediante um clique em botão virtual (“Li e concordo”,
“Aceito os Termos de Uso”...).
• Browse-wrap agreements: as cláusulas dos Termos de Uso são disponibilizadas em
hiperlink no rodapé da página de cadastro (“Ao se cadastrar, você concorda com nossos
Termos de Uso e Política de Privacidade”).
Considerando que o CDC também pode ser aplicável nas relações de consumo na internet,
é importante que o usuário seja devidamente informado de todas as condições
contratuais em observância ao direito do consumidor à informação clara e precisa
(art. 6º, inc. III do CDC).
Política de Privacidade, Termos de Uso e Legal Design

A fim de garantir a efetiva compreensão dos usuários a respeito das disposições
constantes nos documentos, as boas práticas nacionais e internacionais orientam para
a elaboração de uma política de privacidade e termos de uso em linguagem clara e
didática, evitando textos longos e truncados.
Algumas organizações, inclusive, vêm utilizando técnicas de Legal Design para
melhorar a comunicação com o titular, o que aumenta a confiança do usuário e pode
gerar ganhos reputacionais.
Pag. 80
Os Termos e Condições de Uso não possuem natureza contratual, assim, para o

tratamento de dados pessoais dos usuários de uma plataforma, sempre será
necessário coletar o consentimento.
De acordo com a LGPD, o controlador deverá informar ao titular a lista dos

nomes de todos os sistemas internos utilizados no tratamento de dados
pessoais.
Entre a lista de informações que devem ser fornecidas pelo titular, nos termos
do art. 9º, da LGPD, estão: finalidade do tratamento, identificação do
controlador, direitos dos titulares.
A utilização de novas técnicas de linguagem clara e acessível para a redação

dos Termos de Uso e da Política de Privacidade não refletem nenhum tipo de
ganho à organização.
Conhecemos as duas formas de condições de aceite: a click-wrap agreements e o

browse-wrap agréments.
O que acha de verificarmos como a política de retenção, descarte e cronograma
específico funciona?
Política de retenção, descarte e cronograma específico
Política de retenção, descarte e cronograma específico

Pag. 81
• Art. 16. Os dados pessoais serão eliminados após o término de seu tratamento, no
âmbito e nos limites técnicos das atividades, autorizada a conservação para as
seguintes finalidades:
I – cumprimento de obrigação legal ou regulatória pelo controlador;
II – estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos
dados pessoais;
III – transferência a terceiro, desde que respeitados os requisitos de tratamento de
dados pessoais dispostos nesta Lei ; ou
IV – uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que
anonimizado os dados.
• Observa-se que, em regra, a LGPD não admite que os dados pessoais sejam armazenados
indefinidamente, por isso, os agentes de tratamento devem definir regras claras sobre
os períodos de retenção dos dados pessoais e seu descarte seguro.
• A Política de Retenção e Descarte estabelece as diretrizes quanto à retenção e ao

descarte de dados, tendo em vista que o prazo para armazenamento deve observar a
categoria e a finalidade para a qual são tratados.
• A Política vem acompanhada de um Cronograma de Retenção e Descarte em que estarão
descritos os prazos relativos a cada operação de tratamento constantes no ROPA.
• Para se determinar o período de retenção (ou tempo de guarda) dos dados pessoais,
deve-se considerar o propósito do armazenamento, além de identificar quem é o titular
do dado, a categoria do dado tratado e a natureza do tratamento realizado (se o
tratamento envolve relação trabalhista ou contratual, por exemplo).
• Sobre o período de retenção de dados pessoais, tem-se, como regra geral, 05 (cinco)
anos para dados relacionados a relações trabalhistas, em razão do prazo prescricional
previsto constitucionalmente para se ajuizar ação trabalhista, e 10 (dez) anos para
relações contratuais fundadas no Código Civil, considerando o prazo prescricional do
art. 205, do CC.
• A fim de determinar o período de retenção, basta responder às perguntas:
i. Por quanto tempo precisamos dos dados pessoais para atingir nossos objetivos?
ii. Existe alguma obrigação legal ou regulatória que exija o armazenamento dos dados
por um determinado período?
iii. Quais ações poderiam ser ajuizadas contra a organização e quais prazos
prescricionais aplicáveis?
Pag. 82
Sobre o tema de retenção e descarte de dados pessoais, assinale a alternativa

correta:
A LGPD permite o armazenamento de dados por tempo indefinido,

independentemente da finalidade de tratamento.
De acordo com o art. 16 da LGPD, os dados pessoais devem ser descartados

imediatamente após o término do tratamento, ainda que estejam anonimizados.
Os dados relativos à folha de pagamento de empregados podem ser armazenados

por 05 anos pela empresa empregadora, a contar da data de desligamento.
Pedro solicitou o encerramento da sua conta corrente no Banco Mais Poupança e,

por isso, deseja também que todos os seus dados sejam descartados do Banco.
Nesse caso, o Banco Mais Poupança deve acatar o pedido de Pedro e providenciar
o descarte dos dados imediatamente.
Note que, em regra, a LGPD exige que o uso de dados pessoais tenha data de validade,
sendo que esses dados devem ser eliminados após o término do tratamento dos dados.
Veremos, a seguir, a política de segurança da informação e seus objetivos.
Política de segurança da informação e de resposta a incidentes
Política de segurança da informação

• A Política de Segurança da Informação possui o objetivo de apresentar as diretrizes
Pag. 83
de promoção, implementação, manutenção e melhoria do Sistema de Segurança da
Informação de uma organização.
• Trata-se de um documento de caráter híbrido (jurídico e técnico), que deve ser
construído em conjunto com o time de SI.
• Cabe notar que a segurança da informação não é restrita a sistemas computacionais,
informações eletrônicas ou sistemas de armazenamento. O conceito se aplica a todos os
formatos de tratamento de dados pessoais possíveis, incluindo meios físicos.
• A estruturação de um Sistema de Segurança da Informação e sua formalização em uma
Política atende aos princípios da segurança e prevenção, previstos na LGPD (art. 6º,
inc. VII e VIII).
• Além disso, o art. 46, da LGPD dispõe que “os agentes de tratamento devem adotar
medidas de segurança, técnicas e administrativas aptas a proteger os dados
pessoais de acessos não autorizados e de situações acidentais ou ilícitas de
destruição, perda, alteração, comunicação ou qualquer forma de tratamento
inadequado ou ilícito”.
• A Política de Segurança da Informação, assim, visa proteger e garantir os três
princípios da segurança da informação: confidencialidade, integridade e
disponibilidade. A efetiva implementação dessa política previne danos aos ativos de
uma organização, em especial, incidentes de segurança com dados pessoais.
Alguns dos itens que devem ser abordados na Política de Segurança da Informação são:
• Definição de responsabilidades entre gerente de SI, gestores das áreas e
colaboradores;
• Implementação de padrões de segurança em conformidade com as normas técnicas
aplicáveis, como a ISO 27001 e a ISO 27002;
• Normas de backup, recuperação e recursos de DLP (Data Loss Prevention – soluções
para prevenção à perda de dados);
• Políticas de senhas e restrições de acesso;
• Normas sobre o uso geral de dispositivos;
• Rotinas de auditoria;
• Penalidades aplicáveis.
Políticas de resposta a incidentes

• Enquanto a Política de Segurança se enquadra no patamar preventivo, a Política de
Pag. 84
Resposta a Incidentes possui caráter reativo, com o objetivo de estruturar as
respostas a eventuais incidentes de segurança com dados pessoais.
• A Política de Resposta a Incidentes estabelece procedimentos e define funções para
evitar ou mitigar prejuízos à instituição em caso de incidentes envolvendo dados
pessoais.
• O documento deve ser estruturado em harmonia com as disposições da Lei Geral de
Proteção de Dados (LGPD), as boas práticas internacionais e as recomendações da
própria ANPD, sendo recomendada complementação por time especializado em SI.
• O art. 48, da LGPD determina que o controlador deve comunicar à ANPD e ao titular a
ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos
titulares. Segundo orientação da ANPD, essa comunicação deve ser feita no prazo de 02
(dois) dias úteis.
• O §1º, do art. 48, dispõe sobre o conteúdo mínimo da comunicação, qual seja: (i) a
descrição da natureza dos dados pessoais afetados; (ii) as informações sobre os
titulares envolvidos; (iii) a indicação das medidas técnicas e de segurança
utilizadas para a proteção dos dados; (iv) os riscos relacionados ao incidente; (v)
os motivos da demora, no caso de a comunicação não ter sido imediata; e (vi) as
medidas que foram ou serão adotadas para reverter ou mitigar os efeitos do prejuízo.
• A Política auxilia, então, na identificação e na investigação do incidente,

permitindo avaliar a necessidade de comunicação à ANPD.
São alguns pontos a serem abordados na Política de Resposta a Incidentes:
• Designação de Responsável pela Resposta a Incidentes que, normalmente, é o
Encarregado (art. 5º, inc. VIII);
• Monitoramento de eventos e detecção de incidentes;
• Comunicação Interna;
• Análise de Incidentes;
• Resposta a Incidentes;
• Notificação à ANPD e aos titulares de dados.
Pag. 85
Considerando as políticas de segurança da informação e resposta a incidentes,

assinale a alternativa incorreta:
A implementação de uma Política de Segurança da Informação é um dos passos

para a conformidade com a LGPD.
A política de segurança da informação possui um caráter híbrido, por isso, é

importante a participação do time jurídico e de segurança da informação.
De acordo com a LGPD, todo incidente de segurança deve ser comunicado à

Autoridade Nacional de Proteção de Dados.
A Política de Resposta a Incidentes deve conter toda a formalização da

estrutura interna para detecção, investigação e resposta relacionada a
incidentes de segurança.
Notamos que a política de segurança trabalha com a prevenção, e a política de

resposta a incidentes possui caráter reativo. Na próxima videoaula, seguiremos
falando um pouco do relatório de impacto à proteção de dados pessoais e quando é
necessário elaborá-lo.
Relatório de impacto à proteção de dados pessoais
Relatório de impacto à proteção de dados pessoais (RIPD)

Art. 5º, inc. XVII. Para os fins desta Lei, considera-se: relatório de impacto à
Pag. 86
proteção de dados pessoais: documentação do controlador que contém a
descrição dos processos de tratamento de dados pessoais que podem gerar riscos às
liberdades civis e aos direitos fundamentais, bem como medidas,
salvaguardas e mecanismos de mitigação de risco.
O objetivo do RIPD é a análise sistemática e abrangente da operação de tratamento, a
fim de demonstrar responsabilidade e transparência do controlador de dados no
tratamento de operações específicas.
Quando é necessário elaborar o RIPD?
Apesar de não indicar hipóteses específicas em que é necessário elaborar o RIPD, a
LGPD cita esse documento em alguns momentos:
• Art. 10, §3º. A autoridade nacional poderá solicitar ao controlador o relatório de
impacto à proteção de dados pessoais, quando o tratamento tiver como
fundamento seu interesse legítimo, observados os segredos comercial e
industrial.
• Art. 38. A autoridade nacional poderá determinar ao controlador que elabore
relatório de impacto à proteção de dados pessoais, inclusive de dados
sensíveis, referente a suas operações de tratamento de dados, nos termos de
regulamento, observados os segredos comercial e industrial.
Assim como a LGPD, o GDPR também exige a elaboração do Data Protection Impact
Assessment (DPIA) quando o tratamento de dados tem o potencial de gerar risco elevado
aos titulares.
De acordo com as recomendações do Information Commissioner’s Office (ICO), é
necessária a elaboração do DPIA quando:
• Há utilização de tecnologias inovadoras;
• Usar perfis para decidir sobre acesso a serviços;
• Criação de perfis de indivíduos, em larga escala;
• Há o tratamento de dados biométricos;
• Há o tratamento de dados genéticos;
• Combinação de dados de diferentes fontes;
• Há coleta de dados pessoais de uma fonte diversa, sem que o indivíduo tenha acesso
à política de privacidade;
• Rastreamento de localização ou comportamento de indivíduos;
• Criação de perfis de crianças ou direcionamento de marketing para crianças;
• Há o tratamento de dados que possa colocar em risco a saúde física ou a segurança
Pag. 87
do indivíduo.
Qual o conteúdo do RIPD?

De acordo com o §1º, do art. 38, da LGPD, o RIPD deve conter, no mínimo:
• Descrição dos tipos de dados coletados;
• Metodologia utilizada para a coleta e para a garantia da segurança das informações;
• Medidas, salvaguardas e mecanismos de mitigação de risco adotados.
De acordo com as orientações do WP29, um DPIA válido deve conter os seguintes
elementos:
• Descrição sistemática da operação de tratamento de dados pessoais;
• Avaliação de necessidade e proporcionalidade;
• Indicação dos riscos aos direitos e às liberdades dos titulares de dados;
• Indicação das partes envolvidas no tratamento de dados.
Considerando a LGPD e as boas práticas nacionais e internacionais sobre o tema, é

possível construir um RIPD com os seguintes elementos:
I. Informações sobre o tratamento de dados: identificação da operação de tratamento;
dados pessoais tratados; titulares de dados; descrição do tratamento; base legal para
o tratamento; fluxo interno; período de retenção e descarte.
II. Análise acerca da finalidade, da necessidade e da proporcionalidade do
tratamento;
III. Riscos à privacidade;
IV. Medidas de mitigação;
V. Informações de contato.
Pag. 88
A elaboração do RIPD é necessária para qualquer tipo de tratamento de dados

pessoais, independentemente dos riscos conferidos aos titulares.
A LGPD não dispõe sobre possibilidade de solicitação do RIPD quando o

tratamento tiver como base legal o interesse legítimo do controlador.
De acordo com a LGPD, o conteúdo mínimo do RIPD é a descrição dos tipos de

dados coletados, indicação das medidas de mitigação de riscos e indicação de
todos os operadores envolvidos no tratamento.
Uma empresa deseja adotar técnica de reconhecimento facial para autenticação

da identidade de usuários de aplicativo; nesse caso, seguindo as orientações
nacionais e internacionais, é recomendável a elaboração do RIPD.
Vimos que tanto a LGPD, quanto a GDPR exigem a criação do Data Protection Impact
Assessment (DPIA), quando a proteção de dados tem o risco elevado aos titulares. Na
sequência, abordaremos sobre as regras de boas práticas e governança.
Boas práticas em proteção de dados pessoais
Boas práticas e governança

• Sabe-se que a ANPD é o órgão responsável pela implementação e a fiscalização do
cumprimento das disposições da LGPD; entretanto, a legislação brasileira
Pag. 89
optou pela corregulação, ou seja, o desempenho das atividades da ANPD não
exclui a possibilidade de os agentes de tratamento de dados pessoais
estabelecerem regras de boas práticas e governança individualmente ou
por meio de associações (art. 50, da LGPD).
• Aliás, nos termos do art. 52, §1º, inc. IX, da LGPD, a adoção de políticas de boas
práticas e governança será um dos critérios analisados pela ANPD na aplicação de
sanções.
• Os códigos de condutas e políticas de boas práticas são fundamentais, pois
favorecem o diálogo entre o agente regulado e o regulador, além de garantir o
enforcement da legislação, adequado aos comportamentos dos agentes do setor.
Exemplos de guias de boas práticas

• CNseg – Guia de Boas Práticas do Mercado Segurador Brasileiro sobre a Proteção de
Dados Pessoais.
• CNSaúde – Código de Boas Práticas de Proteção de Dados para Prestadores Privados em
Saúde.
• APAS – Guia de Boas Práticas de Proteção de Dados para empresas do setor de
supermercados.
• ABECS – Guia Prático sobre a Lei Geral de Proteção de Dados Pessoais do mercado de
meios eletrônicos de pagamento.
• FEBRABAN – Guia específico para o setor bancário para aplicação da Lei Geral de
Proteção de Dados.
GDPR e Códigos de Conduta
• O art. 40 do GDPR determina que a Comissão Europeia de Proteção de Dados deve
estimular a elaboração de códigos de conduta com o objetivo de contribuir para a
correta aplicação da lei, tendo em vista as especificidades dos diversos setores
econômicos.
• Nesse sentido, em fevereiro de 2022, a Agência Espanhola de Proteção de Dados
(AEPD) aprovou o primeiro código de conduta setorial desde a entrada em vigor do
GDPR, o “Código de Conduta Regulamentar para o Tratamento de Dados Pessoais no Campo
de Ensaios Clínicos e Outras Pesquisas Clínicas em Farmacovigilância”, apresentado
pela Associação Espanhola da Indústria Farmacêutica.
Guias e normas técnicas para a estrutura de privacidade: NIST e ISO/IEC
Pag. 90
• NIST Privacy Framework: O Privacy Framework do NIST (National Institute of
Standards and Technology), órgão do Departamento de Comércio dos Estados
Unidos, é uma ferramenta prática que traz um conjunto granular de atividades
e controles que capacitam organizações a desempenharem adequadamente a gestão de
risco em privacidade.
• O objetivo do Privacy Framework é ajudar as organizações a gerenciar riscos de
privacidade da seguinte maneira: (i) ao considerar a privacidade durante o design e a
implantação de sistemas, produtos e serviços; (ii) ao comunicar as práticas de
privacidade; (iii) ao incentivar a colaboração entre todos os integrantes da
organização.
• ISO/IEC 27701:2019: trata-se de uma extensão das ISO/IEC 27001 e ISO/IEC 27002
para o gerenciamento de privacidade no contexto de uma organização. O documento
especifica os requisitos relacionados ao Sistema de Gerenciamento de
Informações de Privacidade e fornece orientações para o tratamento de
dados pessoais (PII – Personally Identifiable Information).
A LGPD incentiva a elaboração de regras de boas práticas pelos agentes de

tratamento, que devem considerar, em relação ao tratamento e aos dados, a
natureza, o escopo, a finalidade e a probabilidade e a gravidade dos riscos e
dos benefícios decorrentes do tratamento de dados do titular.
O GDPR também possui previsão sobre a elaboração de Códigos de Conduta

setoriais, que deverão ser aprovados pelas autoridades nacionais de proteção
de dados.
A LGPD não prevê qualquer tipo de vantagem ao agente de tratamento que

demonstre a adoção de normas de boas práticas de proteção de dados pessoais.
A legislação brasileira de proteção de dados prevê um regime de

autorregulação, que atrai a participação do agente regulado no que tange à
aplicação da LGPD de acordo com as particularidades de cada setor econômico.
Pag. 91
Vimos os exemplos de guias de boas práticas em proteção de dados pessoais. Na próxima
videoaula, iremos aprender os direitos dos titulares previstos na LGPD e no GDPR.
Vamos juntos neste interessante aprendizado sobre as leis gerais de proteção de
dados!

Dados
7 | Direitos dos titulares

• Reconhecer os direitos dos titulares previstos na LGPD e na GDPR.
• Conhecer as guidelines sobre os direitos dos titulares.
• Compreender o fluxo de petição na ANPD.
Direitos dos titulares previstos na LGPD e no GDPR
Direitos dos titulares previstos na LGPD

• A LGPD prevê uma série de direitos aos titulares dos dados pessoais, que devem ser
garantidos pelos agentes de tratamento. Tais direitos podem ser exercidos a qualquer
Pag. 92
momento, mediante requisição.
• O requerimento deve ser apresentado pelo próprio titular ou por representante
legalmente constituído (art. 18, §3º). Esse requerimento deve ser atendido sem custos
para o titular, nos prazos e termos previstos na LGPD (art. 18, 5º).
• Além da requisição direta ao controlador, a defesa dos direitos dos titulares
também pode ocorrer pela via judicial, em ação individual ou coletiva (art. 22).
A LGPD, em seu art. 18, prevê os seguintes direitos aos titulares de dados:
Confirmação da existência de Acesso aos dados Retificação dos
tratamento dados
Anonimização, bloqueio ou Portabilidade Eliminação dos

eliminação dados
Informações sobre Direitos relacionados ao consentimento (informação e Direito de oposição

compartilhamento revogação)
Além disso, o art. 20 prevê o direito de revisão das decisões automatizadas.
Direitos dos titulares no GDPR

O GDPR prevê os seguintes direitos dos titulares:
Direito à informação Direito de acesso
Direito de retificação Direito de restrição do Direito de retificação Direito de

tratamento eliminação
Direito de revisão de decisões Direito de oposição Direito de revisão de decisões Direito à

automatizadas automatizadas portabilidade
Pag. 93
Acerca dos direitos dos titulares previstos na LGPD e no GDPR, assinale a

alternativa correta:
Qualquer pessoa pode realizar uma requisição de exercício dos direitos

previstos no art. 18 da LGPD, ainda que não seja o titular dos dados pessoais
tratados nem seja o representante legal do titular.
Assim como o GDPR, a LGPD também garante aos titulares o direito de se opor ao
tratamento de dados pessoais, mesmo nas hipóteses de dispensa do
consentimento.
O GDPR não estipula o direito de revisão de decisões de tratamento de dados

pessoais decorrentes de decisões automatizadas.
O art. 18 da LGPD prevê que o titular poderá solicitar apenas o bloqueio ou a

eliminação de dados desnecessários, excessivos ou tratados em desconformidade
com a lei.
Falamos que os direitos dos titulares previstos na LGPT podem ser exercidos a
qualquer momento, mediante a requisição. Veremos, na sequência, as medidas de
verificação da identidade do titular, evitando o acesso de terceiros não autorizados.
Direito de confirmação da existência de tratamento
Direitos de confirmação da existência do tratamento, acesso aos dados e correção de
Pag. 94
dados pessoais
Art. 18, inc. I. O titular dos dados pessoais tem direito de obter do controlador, em
relação aos dados do titular por ele tratados, a qualquer momento e mediante
requisição: confirmação da existência de tratamento.
O direito à confirmação permite ao titular ter a simples confirmação do controlador
de que seus dados estão sendo tratados.
Direito de acesso
Art. 18, inc. II. O titular dos dados pessoais tem direito de obter do controlador,
em relação aos dados do titular por ele tratados, a qualquer momento e mediante
requisição: acesso aos dados.
O direito de acesso aos dados garante ao indivíduo receber informações amplas e
completas acerca dos dados registrados sobre ele. Tais informações deverão
compreender sua origem, quais os entes receptores e o objetivo do tratamento.
Em harmonia com os princípios da segurança e da prevenção, previstos na LGPD, assim,
deve-se adotar medidas para verificar a identidade do titular, evitando que o acesso
seja concedido a terceiros não autorizados.
De acordo com as orientações do European Data Protection Board (EDPB), o controlador
não pode requerer mais dados pessoais do que aqueles necessários para viabilizar a
identificação do titular, e o tratamento das informações adicionais deve se limitar
ao propósito da autenticação de identidade (Guidelines 01/2022 on data subject rights
– Right of access).
Direito de retificação
Art. 18, inc. III. O titular dos dados pessoais tem direito de obter do controlador,
requisição: correção de dados incompletos, inexatos ou desatualizados.
O direito de retificação está alinhado com o princípio da qualidade dos dados (art.
6º, inc. V), que garante aos titulares a exatidão, clareza, relevância e atualização
dos dados.
Pag. 95
O direito de confirmação sobre a existência do tratamento pode ser concedido

com a simples confirmação pelo agente de tratamento responsável.
O direito de acesso garante aos indivíduos o direito a informações detalhadas

sobre os dados pessoais tratados por uma organização.
O controlador sempre deverá atender uma requisição de direito de acesso,

independentemente de verificação da identidade do solicitante.
Ao permitir o exercício do direito de retificação, a organização está em

compliance com o princípio da qualidade dos dados.
Observamos que o controlador sempre deverá atender uma requisição de direito de

acesso e sobre o direito de retificação. Em seguida, veremos sobre direito a
anonimização, portabilidade e eliminação de dados pessoais. Essas são informações que
fazem a diferença onde os dados são considerados bens de valor.
Direito anonimização,portabilidade e eliminação de dados pessoais
Direito a anonimização, bloqueio ou eliminação de dados

• Art. 18, inc. IV. O titular dos dados pessoais tem direito de obter do controlador,
requisição: anonimização, bloqueio ou eliminação de dados desnecessários,
Pag. 96
excessivos ou tratados em desconformidade com o disposto nesta Lei.
• Os chamados dados anonimizados são aqueles que não possibilitam a identificação do
titular, considerando a utilização de meios técnicos razoáveis e disponíveis na
ocasião de seu tratamento. Assim, estão fora do escopo de aplicação da LGPD, desde
que o processo de anonimização não possa ser revertido e que não seja utilizado na
formação de perfis comportamentais.
• Por outro lado, em relação ao bloqueio e à eliminação, enquanto o primeiro diz
respeito à medida temporária, a segunda é medida definitiva, que deve ser aplicada
não só quando o tratamento for ilícito, mas quando tiver terminado, de acordo com as
suas finalidades predefinidas.
• Como se pode observar, os três direitos têm em comum a questão da utilização dos
dados desnecessários ou excessivos, o que afronta diretamente o princípio da
necessidade.
• Antes de atender à requisição de eliminação de dados, o controlador deverá avaliar
(i) se há o tratamento de dados desnecessários ou excessivo, ou (ii) se o
armazenamento dos dados está dentro do período identificado no Cronograma de Retenção
e Descarte, em conformidade com a LGPD.
Direito à portabilidade dos dados

• Art. 18, inc. V. O titular dos dados pessoais tem direito de obter do controlador,
requisição: portabilidade dos dados a outro fornecedor de serviço ou
produto, mediante requisição expressa, de acordo com a regulamentação da
autoridade nacional, observados os segredos comercial e industrial.
• O direito à portabilidade dos dados não se aplica aos dados que já tenham sido
anonimizados pelo controlador (art. 18, §7º).
• Ante a ausência de regulamentação específica da ANPD, apresentamos comparação com o
entendimento do ICO, autoridade de proteção de dados inglesa, que entende a aplicação
do direito de acesso quando (i) a base legal de tratamento de dados, objeto da
portabilidade, for o consentimento ou a execução do contrato; e (ii) o tratamento de
dados for realizado por meios automatizados, ou seja, excluindo arquivos físicos.
Direito à eliminação de dados pessoais

• Art. 18, inc. VI. O titular dos dados pessoais tem direito de obter do controlador,
Pag. 97
requisição: eliminação dos dados pessoais tratados com o consentimento do
titular, exceto nas hipóteses previstas no art. 16, da LGPD.
• Destaca-se que esse direito é aplicável apenas para os dados pessoais tratados com
o consentimento, assim, ao receber a requisição, o controlador deverá observar a base
legal do tratamento, indicada no ROPA, e o período de retenção dos dados, indicado no
Cronograma específico.
• Exceções – art. 16, da LGPD: (i) armazenamento de dados para o cumprimento de
obrigação legal ou regulatória; (ii) armazenamento para estudo por órgão de pesquisa;
(iv) transferência a terceiro; (v) dados anonimizados.
Sobre o tema dos direitos dos titulares, assinale a alternativa correta:
Maria deseja realizar a portabilidade do seu número de celular da operadora

Liga Mais para a operadora Atendemos; nesse caso, além das normas específicas
da ANATEL, há incidência da LGPD, especificamente em relação ao direito à
portabilidade de dados.
De acordo com a LGPD, o titular de dados possui o direito de anonimização,

bloqueio ou eliminação de dados pessoais, independentemente das circunstâncias
do tratamento.
Sempre que o consentimento for a base legal para tratamento de dados pessoais,
o titular terá o direito de eliminação, sem exceções.
Até o momento, não existem recomendações específicas de autoridades nacionais

sobre o direito à portabilidade no âmbito de aplicação do GDPR.
Vimos que os chamados dados anonimizados são aqueles que não possibilitam a
identificação do titular. Veremos que o consentimento pode ser revogado a qualquer
momento mediante manifestação expressa do titular. O que acha de entendermos um pouco
mais sobre o direito a informações sobre informações da negativa do consentimento?
Pag. 98
Direito a informações sobre compartilhamento
Direito a informações sobre compartilhamento

• Art. 18, inc. VII. O titular dos dados pessoais tem direito de obter do
controlador, em relação aos dados do titular por ele tratados, a
qualquer momento e mediante requisição: informação das entidades públicas e
privadas com as quais o controlador realizou uso compartilhado de dados.
• O art. 18, VII é uma decorrência direta do princípio da transparência, em que o
titular tem o direito a informações claras, precisas e facilmente acessíveis sobre a
realização do tratamento e os respectivos agentes de tratamento, observados os
segredos comercial e industrial.
• O direito a informações sobre compartilhamento também está alinhado com o art. 9º,
inc. V, da LGPD, que trata sobre o direito de acesso a informações acerca do uso
compartilhado de dados pelo controlador e a finalidade.
Direito a informações sobre informações da negativa do consentimento

• Art. 18, inc. VIII. O titular dos dados pessoais tem direito de obter do
controlador, em relação aos dados do titular por ele tratados, a
qualquer momento e mediante requisição: informação sobre a possibilidade de
não fornecer o consentimento e sobre as consequências da negativa.
• O direito contido no art. 18, VIII, também pode ser atribuído ao princípio da
transparência, pois, se o indivíduo não sabe as consequências da negação do seu
consentimento, ele não pode sopesar qual a melhor decisão acerca do tratamento de
seus dados.
Direito à revogação do consentimento

Pag. 99
• Art. 18, inc. IX. O titular dos dados pessoais tem direito de obter do controlador,
requisição: revogação do consentimento, nos termos do §5º do art. 8º, da
LGPD.
• O consentimento pode ser revogado a qualquer momento mediante manifestação expressa
do titular, por procedimento gratuito e facilitado, ratificados os tratamentos
realizados sob amparo do consentimento anteriormente manifestado enquanto não houver
requerimento de eliminação.
O princípio da transparência não tem correspondência com nenhum dos direitos

previstos no art. 18 da LGPD.
O direito de acesso a informações sobre as entidades com as quais o

controlador realizou o compartilhamento de dados é aplicável apenas quando o
consentimento for a base legal para o tratamento dos dados pessoais.
Na segunda-feira, Paula assinou termo de consentimento autorizando um

e-commerce a utilizar sua foto e nome para uma campanha publicitária;
entretanto, na sexta-feira, Paula decidiu que não gostaria mais participar do
projeto; assim, utilizou os canais da empresa para revogar seu consentimento.
Tendo em vista a LGPD, o e-commerce deverá atender o pedido de Paula e se
abster de utilizar os referidos dados pessoais.
Quando da obtenção do consentimento, os controladores não possuem exigência

legal para informar o titular de que é possível negar o consentimento.
Verificamos, nessa videoaula, que o titular das contas tem o direito de obter
informações das entidades públicas e privadas com as quais foi realizado o uso
compartilhado de dados. Iremos entender um pouco mais sobre o direito à oposição e
sobre o direito à explicação. Venha conhecer mais sobre seus direitos!
Pag. 100
Direito de oposição
Direito de oposição, revisão das decisões automatizadas e explicação

• Art. 18, §2º. O titular pode se opor a tratamento realizado com fundamento em uma
das hipóteses de dispensa de consentimento, em caso de descumprimento ao disposto
na LGPD.
• Observa-se que, para a LGPD, o direito de oposição é cabível apenas se identificada
alguma irregularidade ao disposto na LGPD, compreendendo-se que é do controlador o
ônus de demonstrar a regularidade do tratamento de dados pessoais.
• No GDPR, o direito de oposição pode ser requerido quando a base legal para o
tratamento de dados pessoais for o legítimo interesse ou o exercício de funções de
interesse público. No entanto, segundo o GDPR, o titular terá direito absoluto à
oposição apenas quando o tratamento de seus dados pessoais for realizado para fins de
marketing direto.
Direito à explicação
• Art. 20, §1º. O controlador deverá fornecer, sempre que solicitadas, informações
claras e adequadas a respeito dos critérios e dos procedimentos utilizados
para a decisão automatizada, observados os segredos comercial e industrial.
• Aqui, é cabível a discussão sobre a possibilidade de aplicação do direito à
explicação para decisões que tenham sido tomadas por meios parcialmente
automatizados.
• A LGPD também prevê a possibilidade de auditoria da ANPD em caso de recusa no
oferecimento das informações (art. 20, §2º).
Pag. 101
De acordo com a LGPD, o direito à revisão é aplicável a qualquer tipo de

decisão tomada com base em meios automatizados, ainda que tenha interferência
humana.
O art. 18 da LGPD dispõe que o titular tem direito de oposição ao tratamento

de dados pessoais, nas hipóteses de dispensa do consentimento.
Em caso de recusa do controlador em oferecer informações sobre os critérios de

decisão automatizada, a LGPD não prevê qualquer tipo de fiscalização da ANPD.
Pedro, empregado da empresa X, deseja se opor ao tratamento de seus dados

pessoais, por isso, envia solicitação ao Encarregado. A empresa X poderá negar
o pedido demonstrando a regularidade no tratamento dos dados de Pedro.
Identificamos quando o direito à oposição é cabível e quando é requerido. Vamos

entender mais sobre as guidelines sobre os direitos dos titulares e o Fluxo de
Petição na ANPD.
Guidelines sobre os direitos dos titulares e Fluxo de Petição na ANPD
Guidelines sobre os direitos dos titulares

• De acordo com a LGPD, em caso de impossibilidade de adoção imediata de providências
em relação às requisições dos titulares, o controlador deverá: (i) comunicar que não
Pag. 102
é o agente de tratamento de dados; ou (ii) indicar as razões de fato ou de direito
que impedem a adoção imediata da providência (art. 18, §4º).
• Art. 19. A confirmação de existência ou o acesso a dados pessoais serão
providenciados, mediante requisição do titular: I - em formato
simplificado, imediatamente; ou II - por meio de declaração clara e
completa, que indique a origem dos dados, a inexistência de registro, os critérios
utilizados e a finalidade do tratamento, observados os segredos comercial
e industrial, fornecida no prazo de até 15 (quinze) dias, contado da data do
requerimento do titular.
Modelos de respostas padrão aos titulares de dados

Resposta inicial simplificada:
Olá, [nome do titular solicitante]! Recebemos sua solicitação para [explicitar o
pedido]. Ela será analisada pelo nosso time e, em até 15 (quinze) dias, você receberá
uma resposta completa, em linha com as disposições da Lei Geral de Proteção de Dados
(Lei 13.709/18). Para saber mais como a EMPRESA X realiza o tratamento de dados
pessoais no âmbito de suas operações, consulte nossa Política de Privacidade. Em caso
de dúvidas, estamos disponíveis para atendê-lo por meio de nosso canal de
atendimento: jurídico@empresax.com.br.
A estruturação das respostas completas irá depender do tipo de requisição do titular.

A seguir, apresentamos alguns tipos de requisição e os elementos essenciais para a
resposta ao titular.
• Direito a informações sobre tratamento, acesso e compartilhamento: relação de todos
os dados pessoais tratados (ex.: nome completo, data de nascimento, RG, CPF, CNH,
etc.); indicar a base legal para o tratamento dos dados pessoais; indicar o item da
Política de Privacidade, que trata do compartilhamento de dados.
• Impossibilidade de exclusão dos dados pessoais: informar a base legal aplicável ao
tratamento e explicar a possibilidade de armazenamento de dados conforme as normas de
prescrição da legislação brasileira.
Petição de titular na ANPD

• Art. 18. §1º. O titular tem o direito de peticionar em relação aos seus dados
Pag. 103
contra o controlador perante a autoridade nacional.
• Art. 18, §8º. O direito a que se refere o §1º deste artigo também poderá ser
exercido perante os organismos de defesa do consumidor.
• Caso o titular não tenha sua solicitação atendida via contato com o controlador,
poderá apresentar petição à ANPD, com a comprovação da solicitação não solucionada
pelo controlador.
• Para realizar a petição na ANPD, é necessária a identificação do titular, do seu
representante (se for o caso) e do agente de tratamento.
Fluxo da petição - ANPD
Fonte: Portal da Autoridade Nacional de Proteção de Dados. Acesso em: 24 de maio de 2022.
Pag. 104
De acordo com a LGPD, as respostas em formato simplificado devem ser

apresentadas ao titular imediatamente, sendo que a apresentação de resposta
imediata e simplificada não dispensa o oferecimento de resposta detalhada.
O prazo para apresentação de resposta completa, segundo a LGPD, é de 15

(quinze) dias, a contar da data do requerimento do titular.
Caso o titular não obtenha resposta adequada do agente de tratamento, poderá

apresentar petição perante o PROCON a respeito da situação.
A fim de exercer os direitos previstos na LGPD, o titular poderá apresentar

demanda diretamente à ANPD, que irá encaminhar a solicitação ao agente de
tratamento.
Entendemos que a estruturação das respostas completas irá depender do tipo de

requisição do titular. No próximo módulo, iremos conhecer a função de Encarregado
pelo tratamento de dados pessoais. Que tal conhecer mais sobre o assunto?
Pag. 105
Dados
8 | O papel do encarregado pelo

tratamento de dados pessoais
• Compreender a função do encarregado pelo tratamento de dados pessoais.
• Identificar as atribuições do encarregado.
• Identificar o perfil e as certificações necessárias para a função de encarregado.
• Analisar os possíveis conflitos de interesses da função de encarregado de dados pessoais.
• Identificar os agentes de Tratamento de Pequeno Porte.
Previsão legal e conceito de encarregado
Encarregado pelo Tratamento de Dados Pessoais

• O Encarregado pelo Tratamento de Dados Pessoais é nomeado para atuar como canal de
comunicação entre o controlador, o titular de dados pessoais e a Autoridade Nacional
de Proteção de Dados.
• No âmbito do direito europeu, é conhecido como Data Protection Officer (DPO) e deve
atuar como canal de comunicação, envolver-se em todos os temas relativos a dados
pessoais e ter autonomia para atuação.
Art. 5º. [...]
VIII - encarregado: pessoa indicada pelo controlador e operador para atuar como canal
de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de
Pag. 106
Proteção de Dados (ANPD).
• Perceba que o encarregado deve ser indicado tanto pelo controlador quanto pelo
operador.
Data Protection Officer

• No GDPR, a previsão é semelhante. Contudo, há especificações que servem, na
prática, de parâmetro para interpretação dos dispositivos da LGPD, mais genéricos e
abstratos.
As previsões estão contidas nos arts. 37 a 39 do GDPR:
• Art. 37: Trata da nomeação do DPO.
• Art. 38: Trata do cargo e autonomia do DPO.
• Art. 39: Trata das atribuições do DPO.
Sobre o tema do encarregado, assinale a alternativa correta:
A nomeação deve ser realizada apenas pelo controlador.
A nomeação deve ser realizada apenas pelo operador.
A nomeação deve ser realizada pelo controlador e pelo operador.
A nomeação somente deve ocorrer se houver tratamento de dados pessoais

sensíveis.
Entendemos que o Encarregado deve ser indicado tanto pelo Controlador como pelo
Operador. Abordaremos as atribuições relacionadas ao Encarregado do tratamento de
dados pessoais. Que tal saber um pouco mais sobre esse assunto?
Pag. 107
Atribuições do encarregado
Atribuições do Encarregado
• Tanto a LGPD quanto o GDPR trazem atribuições do Encarregado, que constituem um rol
mínimo, sem prejuízo de outras atribuições.
• Basicamente, as tarefas que podem ser atribuídas ao Encarregado se dividem em dois
grandes grupos: comunicação e adequação à LGPD.
• O Encarregado é um dos pilares de manutenção do programa de adequação e precisa ter
bom relacionamento interno (com os colaboradores em todos os níveis) e externo (com
parceiros, prestadores de serviços, titulares externos, autoridades de proteção de
dados).
• Art. 41, §2º da LGPD:
§ 2º As atividades do encarregado consistem em:
I - aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e
adotar providências;
II - receber comunicações da autoridade nacional e adotar providências;
III - orientar os funcionários e os contratados da entidade a respeito das práticas a
serem tomadas em relação à proteção de dados pessoais; e
IV - executar as demais atribuições determinadas pelo controlador ou estabelecidas em
normas complementares.
Atribuições do Data Protection Officer

Art. 39 (1) do GDPR (tradução livre) :
1. O responsável pela proteção de dados deve ter, pelo menos, as seguintes funções:
(a) Informar e aconselhar o responsável pelo tratamento ou o subcontratante e os
funcionários [...];
Pag. 108
(b) Monitorar o cumprimento da legislação e das políticas do agente de tratamento
[...];
(c) Aconselhar, quando solicitado, no que diz respeito à avaliação do impacto na
proteção de dados e acompanhar o seu desempenho;
(d) Cooperar com a autoridade supervisora;
(e) Agir como ponto de contato da autoridade de proteção de dados em questões
relacionadas com o tratamento.
Sobre o rol de atribuições do Encarregado, é correto afirmar que:
A LGPD prevê rol taxativo.
O GDPR prevê rol taxativo.
A LGPD faculta a atribuição de comunicação entre o agente de tratamento, o

titular e a ANPD.
A LGPD prevê rol exemplificativo, que pode ser ampliado na prática.
Sabemos que as tarefas que são atribuídas ao Encarregado se dividem em dois grandes
grupos: comunicação e adequação à LGPD. Descobriremos, a seguir, qual é o perfil e a
certificação do encarregado.
Pag. 109
Perfil e certificação do encarregado
Quem pode ser encarregado?

• Pessoa natural ou jurídica;
• Interna ou externa.
• Uma das versões da LGPD falava apenas em pessoa natural, mas o panorama foi
alterado, citando “pessoa”, que pode ser física ou jurídica.
• Não existe uma qualificação específica e o art. 37 (5) do GDPR se limita a exigir
“qualidades profissionais e conhecimento especializado da legislação e práticas de
proteção de dados pessoais”.
Escritório de advocacia como encarregado?

• Levantamento apontou que a maior parte dos Encarregados costuma ser profissional da
área jurídica, englobando tanto colaboradores quanto Encarregados externos.
• Contudo, a Sociedade de Advogados pode ser Encarregado? A resposta é SIM, segundo
parecer elaborado pela OAB/SP (E-5.537/2021):
“A lei autorizou a inclusão de empresas e pessoas físicas para atuarem como DPO
(encarregado de dados), sem exclusão legal de uma ou outra possibilidade, ou seja,
tanto advogado quanto sociedades de advogados poderão, grosso modo, integrar o rol de
prestação de serviços compatíveis com nova Lei Geral de Proteção de Dados, assim
observadas às recomendações e normas regulatórias do setor, obviamente.”
E a certificação?
• As famosas certificações não são requisitos essenciais para desempenhar a função de
Encarregado. Contudo, são importantes instrumentos para certificar o conhecimento da
Pag. 110
legislação e das boas práticas.
• Além dos profissionais da área jurídica, outros têm sido nomeados para desempenhar
a função, sobretudo profissionais de segurança da informação.
Considerando os atributos do encarregado, assinale a alternativa incorreta:
O encarregado necessita da certificação apropriada para o desempenho de suas

funções.
O encarregado pode ser pessoa natural ou jurídica.
O encarregado pode ser um colaborador que exerça outras funções.
O encarregado deve possuir conhecimento da legislação e boas práticas.
Conhecemos o perfil e as certificações ou requisitos necessários para exercer a

função de encarregado. Iremos conhecer ainda mais sobre o encarregado. Veremos, na
sequência, quais são as hard e soft skills do encarregado.
Hard skills e soft skills do encarregado
Hard Skills do encarregado

Ainda que não existam especificações na lei, é recomendado que o Encarregado possua
Pag. 111
algumas Hard Skills, tais como:
• Conhecimento jurídico/regulatório;
• Conhecimento sobre segurança da informação;
• Conhecimento sobre governança de dados;
• Experiência em gestão de projetos e de pessoas (entrevista, mapeamento de
processos);
• Domínio de ferramentas úteis, como Excel, Forms ou plataformas específicas, como a
One Trust, por exemplo;
• Conhecimentos em diversos ramos do direito (Lei Geral de Proteção de Dados
Pessoais, Direito do Consumidor, Direito Civil e Direito do Trabalho).
Soft Skills do Encarregado

Para desempenho adequado da função, sobretudo no tocante ao aspecto gerencial do
programa de adequação e de comunicação com os múltiplos atores envolvidos, são
recomendadas algumas Soft Skills, cada vez mais valorizadas no mercado:
• Didática;
• Relacionamento interpessoal;
• Capacidade de negociação;
• Organização;
• Conhecimento da real necessidade da empresa;
• Adaptabilidade.
O art. 41, §1º da LGPD determina que “A identidade e as informações de contato do

encarregado deverão ser divulgadas publicamente, de forma clara e objetiva,
preferencialmente no sítio eletrônico do controlador”.
De forma semelhante, o art. 37 (7) do GDPR prevê que “o agente de tratamento deve
publicar os dados de contato do Data Protection Officer e comunicá-los à autoridade”.
Os meios de contatos podem ser corporativos, inclusive por automatização ou simples
criação de nova chave de e-mail (ex. privacidade@empresa.com).
Quanto à identificação, há debate sobre a ausência de necessidade de disponibilização
expressa, bastando identificar iniciais do nome ou do setor responsável ou mesmo nome
da empresa.
Pag. 112
A figura do Encarregado traz pontos ainda controversos. Sobre o personagem,

assinale a alternativa correta:
Existem hard skills claramente delineadas pela LGPD.
Existem soft skills claramente delineadas pela LGPD.
O contato pessoal do Encarregado também deve ser disponibilizado para garantir

maior efetividade.
As empresas devem disponibilizar canais de comunicação com o Encarregado.
Vimos quais são as hard skills e as soft skills do encarregado. Na sequência, veremos
os possíveis conflitos de interesses e como isso pode impactar na atividade do
encarregado. Que tal entendermos um pouco mais?
Encarregado e conflitos de interesse
Conflito de interesses
A LGPD não menciona a possibilidade ou não de acumulação de outros cargos com o papel
de Encarregado. Contudo, é prudente observar as disposições da Europa, que aprofundam
o tema.
O art. 38 (6) do GDPR autoriza a acumulação de funções e deveres, mas veda a
atribuição que possa resultar em conflito de interesses.
Pag. 113
O Article 29 Data Protection Working Party recomenda que não sejam nomeados alguns
perfis, tais como:
• Colaboradores que tomem decisões relevantes acerca de tratamento de dados pessoais;
• Pessoas que atuem como CEO, COO, CFO, CMO;
• Head de áreas;
• Qualquer colaborador que realiza tratamento de dados pessoais em larga escala.
Já existem decisões de autoridades de proteção de dados pessoais nesse sentido:

Autoridade Belga: a autoridade de proteção de dados belga aplicou multa de 50.000
euros, cumulada com o prazo de 3 (três) meses para a solução do conflito, a uma
companhia que nomeou o Chefe do Departamento de Compliance, Gestão de Riscos e
Auditoria como DPO.
Autoridade Luxemburguesa: advertiu determinada companhia acerca da incompatibilidade
entre a função de DPO e de Head de Compliance e Prevenção à Lavagem de Dinheiro. Por
haver corrigido o erro de maneira tempestiva, não houve imposição de multa.
Sobre a figura do Encarregado, assinale a alternativa correta:
A LGPD veda expressamente a acumulação do cargo de Encarregado e outros dentro

da mesma companhia.
A LGPD não trata expressamente da questão do conflito de interesses.
A LGPD veda expressamente a acumulação do cargo de Encarregado e outros dentro

da mesma companhia, quando houver possibilidade de conflito de interesses.
O GDPR veda expressamente a acumulação do cargo de DPO e outros dentro da

mesma companhia.
Em conflito de interesses, notamos que a Lei Geral de Proteção de Dados não menciona
a possibilidade de acúmulos de cargos com a função de Encarregado, porém é vedado no
Pag. 114
caso de haver conflito de interesses.
Encarregado e agentes de tratamento de pequeno porte
Quem são os agentes de tratamento de pequeno porte?

• É uma categoria criada pela Resolução ANPD nº 2/2022. Voltando um passo atrás, é
necessário compreender a origem da regulamentação.
• O art. 55-J atribui a competência para a ANPD “editar normas, orientações e
procedimentos simplificados e diferenciados, inclusive quanto aos prazos, para que
microempresas e empresas de pequeno porte, bem como iniciativas empresariais de
caráter incremental ou disruptivo que se autodeclarem startups ou empresas de
inovação, possam adequar-se a esta Lei”.
• No âmbito da competência atribuída, foi criada a categoria de Agentes de Tratamento

de Pequeno Porte, que engloba microempresas, empresas de pequeno porte, startups,
pessoas jurídicas de direito privado, inclusive sem fins lucrativos, nos termos da
legislação vigente, bem como pessoas naturais e entes privados despersonalizados que
realizam tratamento de dados pessoais.
• Além disso, não devem atender simultaneamente aos critérios dos incisos I e II do
art. 4º da Resolução, sob pena de se enquadrar como agente de tratamento que realiza
operação de alto risco, sendo eliminado da exceção.
Agente de tratamento de pequeno porte e Encarregado

• Como regra, todo agente de tratamento deve nomear um Encarregado.
• Contudo, a Resolução torna facultativa a nomeação para agentes de tratamento de
Pag. 115
pequeno porte.
• Se a nomeação for realizada, ainda que não obrigatória, será considerada boa
prática de governança.
Assinale a alternativa que não engloba um agente de tratamento de pequeno

porte:
Ente despersonalizado.
Startups.
Microempresa que realiza tratamento de alto risco.
Empresa de pequeno porte.
Vimos quem são os agentes de tratamento de pequeno porte. No próximo tema, entraremos
no mundo dos aspectos jurídicos que englobam os negócios digitais. Você não pode
ficar fora dessa!
Pag. 116
9 | Importância da adequação:
responsabilização judicial, sanções
administrativas, danos reputacionais e
due diligence
• Reconhecer a responsabilidade civil dos agentes quanto a reparação de danos.
• Identificar a responsabilidade judicial.
• Conhecer a Autoridade Nacional de Proteção de Dados (ANPD).
• Entender as sanções Administrativas da LGPD.
• Identificar os parâmetros e os critérios nas aplicações das sanções.
• Identificar as consequências negativas da não adequação à LGPD.
Responsabilidade civil dos agentes
Responsabilidade Civil dos Agentes

Apesar de a LGPD trazer a previsão da incidência de sanções administrativas por
descumprimento da lei, que serão aplicadas pela ANPD, há também a possibilidade de
responsabilidade civil no que diz respeito à reparação de danos causados pelo
tratamento de dados em desacordo com o diploma legal.
• Art. 42, LGPD: O controlador ou o operador que, em razão do exercício de atividade
de tratamento de dados pessoais, causar a outrem dano patrimonial, moral,
individual ou coletivo, em violação à legislação de proteção de dados
pessoais, é obrigado a repará-lo.
• Art. 42, § 1º A fim de assegurar a efetiva indenização ao titular dos dados:
Pag. 117
I - o operador responde solidariamente pelos danos causados pelo tratamento quando
descumprir as obrigações da legislação de proteção de dados ou quando não tiver
seguido as instruções lícitas do controlador, hipótese em que o operador equipara-se
ao controlador, salvo nos casos de exclusão previstos no art. 43 desta Lei;
II - os controladores que estiverem diretamente envolvidos no tratamento do qual
decorreram danos ao titular dos dados respondem solidariamente, salvo nos casos de
exclusão previstos no art. 43 desta Lei.
§ 4º Aquele que reparar o dano ao titular tem direito de regresso contra os demais
responsáveis, na medida de sua participação no evento danoso.
• Discussão doutrinária: responsabilidade subjetiva x responsabilidade objetiva.
Exceções relativas à responsabilização: art. 43, LGPD

I - não realizaram o tratamento de dados pessoais que lhes é atribuído;
II - embora tenham realizado o tratamento de dados pessoais que lhes é atribuído, não
houve violação à legislação de proteção de dados; ou
III - que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiro.
Quanto ao dever de indenizar os titulares de dados pessoais, há posições

doutrinárias e decisões judiciais que defendem tanto a responsabilidade
objetiva, quanto a subjetiva.
A LGPD prevê expressamente exceções relativas à responsabilização.
Aquele que reparar o dano ao titular tem direito de regresso contra os demais
responsáveis, na medida de sua participação no evento danoso.
Ainda que seja comprovada a culpa exclusiva do titular dos dados, o agente de
tratamento será responsabilizado.
Vimos a responsabilidade civil dos agentes quanto à reparação de danos causados pelo
Pag. 118
tratamento de dados. Veremos, agora, a responsabilidade judicial. Há muitas dicas e
informações importantes que você não pode perder.
Responsabilização judicial
Responsabilização judicial
• Direito fundamental do livre acesso à justiça: art. 5º, XXXV, CRFB88.
• Fundamento da indenização por danos morais: art. 5º, V e X da CRFB88.
• Além da previsão constitucional, a disposição do art. 927 do Código Civil (CC)
afirma que aquele que comete ato ilícito (conforme art. 186 e 187 do CC) ficará
obrigado a repará-lo, independentemente de culpa, nos casos especificados em lei, ou
quando a atividade normalmente desenvolvida pelo autor do dano implicar, por sua
natureza, risco para os direitos de outrem.
• De acordo com dados divulgados pela Folha de São Paulo, conforme pesquisa feita
pela empresa Juit, até junho de 2021, já havia mais de 600 decisões judiciais
envolvendo a LGPD.
• “LGPD: 77% das decisões que citam lei não resultaram em condenação em 2021: Em
2021, foram ao menos 465 decisões sobre o tema – 77% delas não resultaram em
condenação, tendo sido extintas ou julgadas improcedentes, mas as que
tiveram sanção tiveram danos arbitrados de R$ 600 a R$ 100 mil”. Os números
são delevantamento do escritório Opice Blum, Bruno e Vainzof Advogados
Associados, especializado em Direito Digital, que analisou decisões
judiciais sobre a LGPD em cortes superiores, tribunais de sete estados e
três tribunais regionais federais. Os julgamentos analisados foram realizados em
todo o ano passado, até 6 de dezembro.
Pag. 119
Fonte: https://images.jota.info/wp-content/uploads/2022/01/relatacc83c2b3rio-anual-jurimetria-24-01-versacc83o-final.pdf
Valores das condenações pecuniárias (variação geral)
Fonte: Relatório Anual de Jurimetria 2021. Opice Blum, Bruno e Vainzof Advogados Associados. Acesso: https://images.jota
.info/wp-content/uploads/2022/01/relatacc83c2b3rio-anual-jurimetria-24-01-versacc83o-final.pdf
Valores das condenações pecuniárias (variação geral por tema)
Pag. 120
Fonte: Relatório Anual de Jurimetria 2021. Opice Blum, Bruno e Vainzof Advogados Associados. Acesso: https://images.jota
.info/wp-content/uploads/2022/01/relatacc83c2b3rio-anual-jurimetria-24-01-versacc83o-final.pdf
Casos concretos
Condenações não pecuniárias:
• 1001303-97.2021.8.26.0001: condenação a prestar à autora “informação das entidades
públicas e privadas com as quais o controlador realizou uso compartilhado de
dados” (art. 18, VII), bem como “declaração clara e completa que indique
origem dos dados, inexistência de registro, critérios utilizados e finalidade
do tratamento” (no prazo de até 15 dias, de acordo com art. 19, II, sob pena de
multa de R$ 100,00 por dia de atraso).
• 1000406-21.2021.8.26.0405: condenação a recolher os dados de todos os locais onde
foram compartilhados sem autorização, bem como para condenar a ré a pagar à
autora, a título de danos morais, a quantia de R$ 10.000,00.
Pag. 121
Condenações pecuniárias:
1006311-89.2020.8.26.0001: vazamento de
dados de funcionários de empresa
controladora. Divulgação
para terceiro, por funcionário, de
dados de contato de colega para fins
de assédio.
Caracterizado o vazamento de dados e
negligência da controladora no
tratamento de dados pessoais,
agravada ante a defesa da empresa
nos autos visando ao afastamento da
indenização, o que
representaria acobertamento Fonte: Juristas. Acesso: https://juristas.
da conduta do preposto. Danos morais com.br/2021/08/25/justica-do-rs-condena-in

stituicao-de-ensino-por-violar-a-lgpd/
majorados para R$ 10.000,00.
Reclamações Trabalhistas
• Em análise sobre a jurisprudência brasileira trabalhista envolvendo LGPD,
constatou-se que os recentes julgados trabalhistas envolvendo LGPD não têm optado
pela configuração automática de dano moral oriundo de violação à proteção de dados
pessoais dos colaboradores.
• Tem-se verificado que, nos casos em que há condenações de empregadores por danos
morais, segue-se o padrão do sistema jurídico brasileiro, para além das discussões
sobre existência ou não de culpa, a depender do regime subjetivo ou objetivo: (i)
ocorrência do ato ilícito; (ii) nexo causal entre ato ilícito e o dano; e (iii) a
efetiva demonstração do dano sofrido. Não parece ter sido a intenção do legislador
considerar o dano como presumido, sem que fosse necessária a prova do efetivo
prejuízo sofrido, para o caso de violação às previsões da LGPD.
• De todo modo, nos casos em que presentes todos os elementos ensejadores da
indenização, o valor máximo da condenação não ultrapassou o valor de R$ 5.000,00
(cinco mil reais), envolvendo casos como:
• (i) acesso indevido ao celular privado da colaboradora, utilizando mensagens
pessoais como motivo de justa causa (ROT 0020380-59.2020.5.04.0405);
• (ii) publicação do celular da colaboradora no site da empresa sem sua autorização (
Pag. 122
ROT 0010337-16.2020.5.03.0074);
• (iii) utilização da sua assinatura do certificado digital da ex-colaboradora, mesmo
após a extinção do contrato (ATOrd 0000655-47.2021.5.11.0052); e
• (iv) realização de exame etílico sem atender aos princípios da transparência,
finalidade e necessidade (ATSum 0024177-39.2021.5.24.0021).
A tendência jurisprudencial brasileira tem sido a condenação em casos

envolvendo a privacidade e a proteção de dados com altos valores de
indenizações a título de danos morais.
Não há, na CRFB88, dispositivo que assegure o direito à indenização por dano
material ou moral decorrente de sua violação.
Até o presente momento, ainda não há julgados na justiça brasileira envolvendo

a LGPD.
A LGPD traz dispositivo que expressa a obrigação de reparação dos agentes de

tratamento que causem dano patrimonial, moral, individual ou coletivo, em
violação à legislação de proteção de dados pessoais.
Vimos sobre a responsabilização judicial e alguns valores de condenação pecuniárias.

Seguiremos, na próxima videoaula, com a ANPD e o processo administrativo
sancionatório. Vamos conhecer como esses processos funcionam?
Pag. 123
ANPD e processo administrativo sancionador
ANPD
• A ANPD é o órgão da administração pública federal responsável por zelar pela
proteção de dados pessoais e por regulamentar, implementar e fiscalizar o
cumprimento da LGPD no Brasil.
• Art. 55-J. Compete à ANPD:
I - zelar pela proteção dos dados pessoais, nos termos da legislação;
IV - fiscalizar e aplicar sanções em caso de tratamento de dados realizado em
descumprimento à legislação, mediante processo administrativo que assegure o
contraditório, a ampla defesa e o direito de recurso.
Processo administrativo sancionatório

• A LGPD entrou em vigor em 18 de setembro de 2020, mas o capítulo contendo as
sanções administrativas passou a vigorar somente em 1º de agosto de 2021.
• A partir dessa data, a ANPD (Autoridade Nacional de Proteção de Dados), encarregada
de fiscalizar e penalizar aqueles que estiverem descumprindo a legislação, já pode
aplicar as sanções previstas na LGPD.
• As sanções só poderão ser aplicadas após procedimento administrativo, assegurado o
contraditório e a ampla defesa.
• LGPD: em vigor desde set/2020.
• Sanções administrativas: em vigor desde ago/2021 (multas até 50 milhões de reais).
• Até março/2022: nenhuma sanção aplicada.
• Informações da ANPD: entre jan/2021 e out/2021 recebeu:
(i) 116 notificações de incidentes;
(ii) 392 reclamações que necessitam de algum tipo de ação de fiscalização;
Pag. 124
(iii) média mensal de 293 denúncias de titulares de dados na Ouvidoria.
Resolução CD/ANPD Nº 1, de 28 de Outubro de 2021

• Regulamento que estabelece os procedimentos inerentes ao processo de fiscalização e
as regras a serem observadas no âmbito do processo administrativo sancionador pelo
órgão.
• Objetivo: finalidade de orientar, prevenir e reprimir as infrações à LGPD.
• Segurança jurídica e previsibilidade: estabelecimento de prazos, procedimentos e
requisitos.
• Instauração do processo administrativo sancionador: de ofício pela
coordenação-geral de fiscalização, em razão de processo de
monitoramento ou por requerimento, de maneira imediata, após devida
avaliação de admissibilidade pela coordenação-geral de fiscalização. Obs.
Não é cabível recurso da decisão de instauração do processo administrativo
sancionador.
• Procedimento preparatório: meio para efetuar averiguações preliminares, de ofício
ou a requerimento, às situações em que os indícios da prática de infração não
forem suficientes para a instauração imediata de processo administrativo
sancionador. Ao fim dessa fase, caberá à coordenação-geral de
fiscalização arquivá-lo ou instaurar processo administrativo
sancionador.
• Obs. Há a possibilidade de instauração de imediato, sem que seja necessário
observar o procedimento preparatório ou adotar medidas de orientação e
prevenção.
• Obs. Há a possibilidade de o procedimento tramitar em sigilo.
• Proposta de celebração de TAC: o regulamento prevê a apresentação pelo interessado

de proposta de celebração de termo de ajustamento de conduta, que passará por
deliberação da coordenação-geral de fiscalização. Caso aprovado, o
processo será suspenso e arquivado quando verificado o seu cumprimento
integral.
• Fase de instauração e instrução: privilegia o contraditório e a ampla defesa e tem
seus prazos e formalidades definidos. Após a apresentação da defesa do autuado
Pag. 125
ou decorrido o prazo sem a sua apresentação, é elaborado o relatório de instrução.
• Fase de decisão: deverá indicar os fatos e os fundamentos jurídicos e, caso
aplicável, virá acompanhada de sanção cabível.
• Fase de recurso: Art. 60. O recurso administrativo terá efeito suspensivo limitado
à matéria contestada da decisão, ressalvadas as hipóteses de fundado receio de
prejuízo de difícil ou incerta reparação decorrente da execução da decisão
recorrida.
Assinale a opção correta:
O CNPD é o órgão responsável pela fiscalização e a aplicação de sanções

daqueles que estiverem descumprindo a legislação.
Não há previsão na LGPD a respeito de sanções administrativas.
As sanções administrativas previstas na LGPD ainda não estão em vigor.
Há sanções administrativas previstas na LGPD e elas já estão em vigor.
Aprendemos um pouco como funciona a proposta de celebração de TAC e sobre as fases de

instauração e instrução, fase de decisão e a fase de recurso administrativo. Que tal
aprendermos um pouco mais sobre as sanções administrativas previstas na LGPD?
Pag. 126
Sanções administrativas previstas na LGPD
Sanções Administrativas
• Advertência (art. 52, I da LGPD): é a sanção mais branda, vez que funciona como
aviso ao infrator, no sentido de cientificá-lo da possível irregularidade
detectada, bem como oportunizar a sua correção. Deverá se dar por via oral
ou escrita; certo é que, ao advertir o infrator, a ANPD deverá também indicar
prazo para a tomada das respectivas medidas de regularização.
• Multa simples (art. 52, II da LGPD): diferentemente da multa diária, a multa
simples é arbitrada por critério global, e não temporal. Nesse sentido,
trata-se de sanção administrativa de caráter pecuniário, a ser arbitrada até
o limite de 2% (dois por cento) do faturamento da pessoa jurídica infratora, tendo
por base seu último exercício financeiro. De todo modo, tal valor não poderá
exceder a quantia de R$ 50.000.000,00 (cinquenta milhões de reais) por
infração.
• Multa diária (art. 52, III da LGPD): trata-se de sanção pecuniária a ser imposta
por dia, enquanto perdurar a infração. Para tanto, devem ser respeitados os
mesmos limites totais da multa simples, conforme anteriormente referido.
• Bloqueio de dados (Art. 52, V da LGPD): nos termos do art. 5º, XIII, LGPD, o
bloqueio consiste na suspensão temporária das operações de tratamento,
mediante guarda do dado pessoal ou do banco de dados. A partir disso, é
necessário observar que a sanção de bloqueio incide apenas sobre os dados
pessoais relacionados à infração cometida, e não sobre todas as operações
realizadas pelo infrator. Ainda, é medida de caráter temporário, que deve
perdurar somente até a efetivação das providências de regularização
Pag. 127
necessárias.
• Eliminação de dados (Art. 52, VI da LGPD): enquanto o bloqueio possui caráter

temporário, a eliminação, de acordo com o art. 5º, XIV, significa a
exclusão dos dados armazenados em determinado banco de dados,
independentemente do procedimento empregado. Isto é, trata-se de
medida de caráter definitivo, incidente apenas sobre os dados referentes à
infração. Visto isso, excetuado o arbitramento de multas, o §3º do art. 52
permite a aplicação das demais sanções administrativas às entidades e órgãos
públicos, sem prejuízo da legislação específica.
• Excetuado o arbitramento de multas, o §3º do art. 52 permite a aplicação das demais
sanções administrativas às entidades e órgãos públicos, sem prejuízo da legislação
específica.
• Já no §2º do referido art. 52, a atuação repressiva pela ANPD não obsta a eventual
imposição de sanções de outra natureza, como é o caso das demais disposições
administrativas, civis ou penais aplicáveis a cada caso concreto.
• Cumpre salientar que a Lei 13.853/19 inclui outras três hipóteses de sanções nos
incisos X (suspensão parcial do funcionamento de banco de dados), XI (suspensão do
tratamento de dados pessoais) e XII (proibição parcial ou total das
atividades relacionadas a tratamento de dados).
• Inicialmente, tais sanções foram objeto de veto presidencial; entretanto, o veto
foi derrubado pelo Congresso Nacional, que restabeleceu a aplicação das sanções.
• O §6º restringiu a aplicação das mesmas, podendo ser aplicadas somente em caso de
reincidência (ressalvado o caso da primeira sanção ser a de advertência) e nos casos
em que o controlador estiver submetido a outros órgãos e entidades com competências
sancionatórias, desde que ouvidos esses últimos.
Pag. 128
As sanções administrativas que se destacam são as multas simples e diárias que

podem vir a ser aplicadas diante de violação à LGPD. Elas podem vir a ser
aplicadas no valor de até 2% (dois por cento) do faturamento da pessoa
jurídica de direito privado, grupo ou conglomerado no Brasil no seu último
exercício, excluídos os tributos. Qual o valor limite de aplicação dessa
sanção?
R$ 50.000.000,00 (cinquenta milhões de reais) por infração.
R$ 5.000.000,00 (cinco milhões de reais) por infração.
Não há limite estipulado na LGPD.
R$ 500.000.000,00 (quinhentos milhões de reais) por infração.
Você conseguiu analisar como algumas sanções administrativas são, como o caso da
advertência, a multa simples, a multa diária, o bloqueio de dados e a eliminação de
dados. Na sequência, verificaremos os parâmetros para a aplicação dessas sanções.
Parâmetros para aplicação das sanções e casos concretos
Parâmetros para aplicação das sanções

Definidas as sanções possíveis, o §1º do art. 52 cuida de especificar os parâmetros e
os critérios que deverão nortear a aplicação de tais penalidades. Observadas as
peculiaridades de cada caso, deve a autoridade administrativa se pautar a partir dos
Pag. 129
seguintes fatores:
a) a gravidade e a natureza das infrações e dos direitos pessoais afetados;
b) a configuração de boa-fé por parte do infrator;
c) a vantagem auferida ou pretendida;
d) a condição econômica do infrator;
e) a reincidência;
f) o grau do dano;
g) o nível de cooperação do infrator;
h) a adoção reiterada e demonstrada de medidas para reverter ou mitigar os efeitos do
dano;
i) a adoção de política de boas práticas e governança;
j) a pronta adoção de medidas corretivas; e
k) a proporcionalidade entre a gravidade da falta e a intensidade da sanção.
Casos concretos internacionais

Por ser um tema recente no Brasil, ainda não temos precedentes de condenações
administrativas, em casos envolvendo a LGPD. Como a LGPD foi inspirada em
regulamentações estrangeiras que já estavam em vigor anteriormente, é importante
trazermos condenações de autoridades estrangeiras envolvendo organizações de saúde.
Essa análise de casos é de grande relevância para as empresas, uma vez que, na falta
de precedentes locais para a aplicação das penalidades, a ANPD se apoiará nas
decisões tomadas onde há maior maturidade em relação ao tema.
1. British Airways – julho/2019: O Information Commissioner’s Office (ICO), agência
que trata da proteção de dados e informações no Reino Unido, aplicou uma multa
recorde no país, de 183 milhões de libras (cerca de US$ 230 milhões), contra
a British Airways (BA), por violação de dados de 500 mil passageiros, em 2018. O
motivo da multa pedida remete ao final de 2018, quando a empresa, por motivo
de falha de segurança, acabou vazando dados como os nomes completos, endereços,
detalhes de passagens e viagens feitas e agendadas, login e cartão de
crédito de aproximadamente 500 mil dos seus clientes. O ICO alegou que o
incidente poderia ter sido evitado se as implementações de segurança
on-line da empresa aérea não fossem precárias.
2. Centro Hospitalar Barreiro-Montijo - jan/2019: a Comissão Nacional de Proteção de
Pag. 130
Dados de Portugal (CNPD) aplicou multa de 400 mil euros ao hospital por
permitir acesso indiscriminado a um número excessivo de usuários. Apesar de
haver apenas 296 médicos no hospital, 689 pessoas possuíam acesso indevido a
dados sensíveis dos pacientes.
3. Banco de dados da Singapore Health Services Pte Ltd’s (SingHealth) – jan/2019: um
ataque cibernético ocasionou um vazamento de dados pessoais de 1,5 milhão de
pessoas e registros de medicações utilizadas por mais de 159 mil pessoas. A
agência responsável por manter e desenvolver os sistemas de informática da
SingHealth foi condenada a pagar indenização equivalente a 750 mil dólares
de Singapura (mais de 2 milhões de reais).
4. Knuddels.de – nov/2018: a rede social alemã recebeu uma multa de €200 mil euros
por um vazamento de dados que expôs informações de mais de 330 mil pessoas,
incluindo seus e-mails e senhas. Apenas em alguns casos, outras
informações, como nome e endereço dos usuários, foram vazadas e
disponibilizadas em serviços de nuvem pública. A quebra de sigilo
mostrou que o site mantinha guardados esses dados em formato de texto comum,
sem encriptação alguma ou anonimização das informações que pudessem dificultar a
identificação dos usuários.
5. H&M – out/2020: a varejista sueca de roupas H&M (Hennes & Mauritz)foi

multada pelo órgão de fiscalização daGDPR(“General Data Protection
Regulation”) em €35,3 milhões (em torno de R$ 228,91 milhões) por ter
mantido arquivados registros excessivos de práticas rotineiras de seus
funcionários em seu escritório em Nuremberg, na Alemanha. Segundo os
registros do caso, a companhia gravava entrevistas com funcionários que
voltavam de licença, repleta de dados pessoais e médicos, e compartilhava o
material com toda a gerência sem a aprovação do trabalhador.
6. WhatsApp – set/2021: a autoridade digital irlandesa multou em 225 milhões de
euros (cerca de R$ 1,3 bilhão) o WhatsApp. As autoridades concluíram que o
aplicativonão "cumpriu suas obrigações de transparência" ao informar
para as pessoas sobre como suas informações seriam usadas. De acordo com a
decisão, o WhatsApp não informou corretamente como os dados dos usuários são
compartilhadas entre o app e as outras empresas do grupoFacebook, que
é seu proprietário.
Fonte: https://olhardigital.com.br/noticia/entenda-de-uma-vez-por-todas-o-que-e-a-gdpr-e-por-que-ela-afeta-o-mundo-todo/
Pag. 131
76285
https://g1.globo.com/tudo-sobre/facebook/
Assinale a opção que não representa um parâmetro para aplicação das sanções
administrativas da LGPD.
Adoção de política de boas práticas e governança.
Condição econômica dos titulares lesados.
Configuração de boa-fé por parte do infrator.
Reincidência.
Notamos que os parâmetros para a aplicação das sanções são bem claros e vimos também
os casos concretos internacionais. Na próxima videoaula, verificaremos os danos
reputacionais causados pelos incidentes de segurança e a due diligence. Vamos
entender um pouco mais sobre esse assunto?
Danos reputacionais e due diligence
Consequências negativas da não adequação à LGPD

Insatisfação de Clientes – Reclame Aqui, PROCON, gov.br
Pag. 132
As principais reclamações dos clientes têm sido:
• Vazamento e compartilhamento indevido de dados de clientes com terceiros;
• Dificuldade e burocracia na exclusão de seus dados pessoais;
• Contato indevido. Ex: Mail marketing, SMS e contato telefônico;
• Falha na relação de transparência com os consumidores. Ex: políticas de
privacidade confusas ou inexistentes.
Consequências negativas da não adequação à LGPD
Fonte: Domine a LGPD. Acesso: https://www.dominealgpd.com/reclame-aqui-lgpd
LGPD News. Acesso: https://lgpdnews.com/2021/01/lgpd-e-citada-27-mil-vezes-em-reclamacoes-no-portal-reclameaqui/#:~:text=indevido
%20de%20dados-,LGPD%20%C3%A9%20citada%20mais%20de%202%2C7%20mil,em%20reclama%C3%A7%C3%B5es%20no%20portal%20ReclameAQUI
Procon MS. Acesso: https://www.procon.ms.gov.br/procon-ms-autua-leroy-merlin-privalia-james-e-centauro-por-infracao-a-lgpd/
“Os fiscais do Procon/MS realizaram fiscalização em diversos sites e aplicativos de vendas, onde constataram termos de
uso abusivos e políticas de privacidade e cookies em inobservância em relação a LGPD”.
Due diligence: o termodue diligenceé traduzido como “diligência prévia”, que

corresponde a uma análise e investigação sobre determinada empresa, alvo
de um futuro negócio, com o intuito de levantar o máximo de informações a seu
respeito.
Pag. 133
As empresas já vêm questionando, por meio de Avaliação de Fornecedores, se a futura
fornecedora e parceira de negócio tem projeto de adequação à LGPD. O fato
de uma delas não estar adequada pode ser um verdadeiro obstáculo para fechar um
negócio.
• Dano reputacional: as empresas têm se deparado com uma consequência ainda mais
delicada: o dano reputacional causado pelos incidentes de segurança e pela
prática de outros ilícitos relacionados à proteção de dados pessoais. Essa
consequência tende a ser cada vez maior, à medida que houver maior
conscientização por parte dos titulares de dados sobre o tema.
• O relatório do Global Risks Report" do World Economic Fórum destaca que a reputação
se torna cada vez mais o principal ativo intangível das organizações.
• Vazamentos, multas, indenizações acarretam danos reputacionais, que podem gerar a
diminuição da confiança depositada por clientes, fornecedores e investidores.
Até o momento, não há registro de reclamações de clientes no Reclame Aqui que

envolvam LGPD.
As empresas têm se deparado com uma consequência ainda mais delicada: o dano
reputacional causado pelos incidentes de segurança e pela prática de outros
ilícitos relacionados à proteção de dados pessoais.
O PROCON já autuou empresas por descumprimento da LGPD.
A Avaliação de Fornecedores pode ser um dos meios utilizados para analisar se

a futura fornecedora e parceira de negócio está em conformidade com a LGPD.
Vimos um pouco sobre os danos reputacionais causados pelos incidentes de segurança e

pela prática de outros ilícitos relacionados à proteção de dados pessoais. No próximo
módulo, veremos sobre MCI vs. LGPD. O que acha de verificarmos como funciona essa
disputa?
Pag. 134
10 | Considerações sobre atividades de

marketing diante da LGPD e do MCI:
legítimo interesse e direito de oposição
• Entender as bases legais para o tratamento de dados pessoais.
• Conhecer a relação entre marketing e dados pessoais.
• Compreender os conceitos de consentimento e legítimo interesse em marketing.
• Identificar as regras na aplicação do marketing direto.
• Conhecer o direito de oposição na LGPD.
Bases legais para o tratamento de dados pessoais - MCI vs. LGPD
MCI vs. LGPD: critério da especialidade

• Seguindo as regras de solução de antinomias no ordenamento jurídico brasileiro,
tem-se que a lei especial deve prevalecer na relação com a lei geral. Apesar de ambos
os diplomas legais apresentarem o tema do tratamento de dados pessoais, o MC possui
escopo mais abrangente ao disciplinar princípios, garantias, direitos e deveres para
o uso da Internet. A LGPD, por sua vez, tem o escopo específico de regular o
tratamento de dados pessoais, inclusive nos meios digitais.
• Considerando o critério da especialidade, a LGPD prevalece sobre os dispositivos no
tema de tratamento de dados pessoais do MCI.
Bases legais para o tratamento de dados pessoais: MCI vs. LGPD Pag. 135
• MCI – Art.7º, inc. IX. O acesso à internet é essencial ao exercício da cidadania, e
ao usuário são assegurados os seguintes direitos: consentimento expresso sobre
coleta, uso, armazenamento e tratamento de dados pessoais, que deverá ocorrer
de forma destacada das demais cláusulas contratuais.
• LGPD – Art. 7º. O tratamento de dados pessoais somente poderá ser realizado nas
seguintes hipóteses: consentimento, cumprimento de obrigação legal ou regulatória,
execução de políticas públicas, realização de estudos por órgão de pesquisa, execução
de contrato, exercício regular de direitos, proteção da vida, tutela da saúde,
interesse legítimo, proteção do crédito.
• Observa-se que, com o MCI, o tratamento de dados pessoais era centralizado no

consentimento. A LGPD, entretanto, inaugurou novas bases legais para justificar o
• O consentimento persiste como uma das hipóteses legais para o tratamento de dados
pessoais, entretanto, não é a única. O agente de tratamento deverá analisar qual base
legal é mais adequada para a finalidade pretendida, em observância ao princípio da
adequação (art. 6º, inc. II, da LGPD).
• A LGPD, inclusive, impôs mais requisitos para a validade do consentimento, que
deverá ser uma manifestação livre, informada e inequívoca. Por isso,
considera-se que o consentimento será a base legal adequada somente se
for possível conceder ao titular efetivo poder de escolha e controle sobre o
tratamento de seus dados pessoais.
Pag. 136
Acerca da relação entre MCI e LGPD, assinale a alternativa correta:
A LGPD revogou tacitamente todos os dispositivos do MCI, não existindo

possibilidade de harmonização entre as normas.
O MCI não apresenta dispositivos relativos à disciplina de proteção de dados e

A LGPD ampliou os requisitos necessários para a validade do consentimento.

Nesse caso, as disposições da LGPD prevalecem sobre os dispositivos do MCI, em
razão do critério da especialidade.
Tendo em vista o disposto no MCI, sempre será necessário coletar o

consentimento para o tratamento de dados pessoais na Internet.
Vimos as principais diferenças entre a MCI e a LGPD e quais as bases legais para o
tratamento de dados pessoais. Veremos, na próxima videoaula, sobre o marketing, o
marketing direto e o impacto aos direitos dos indivíduos. Vamos lá!
Dados pessoais e atividades de marketing
Marketing e dados pessoais

A Associação Americana de Marketing (AMA) define o marketing como uma atividade que
reúne instituições e processos para criar, comunicar, entregar e trocar ofertas que
possuem valor para consumidores, clientes, parceiros e a sociedade em geral.
Pag. 137
Com o advento das novas tecnologias, a relação entre marketing e dados pessoais se
estreitou, permitindo a personalização de conteúdos e a predição de interesses.
No caso do marketing direto, o uso de dados pessoais é fundamental para compreender
os interesses e as necessidades do público-alvo. O marketing direto é um conjunto de
estratégias de marketing focadas em promover produtos e serviços destinados a um
público específico. Alguns exemplos práticos de ações de marketing direto:
telemarketing, e-mail marketing, mala direta, etc.
Marketing direto e novas tecnologias

O uso de novas tecnologias em ações de marketing direto pode aprimorar o
direcionamento de mensagens publicitárias e permitir o alcance de novos clientes.
As novas tecnologias permitem a coleta de dados pessoais mais abrangentes, que
ultrapassam aqueles fornecidos diretamente pelo titular.
Por exemplo:
• Dados observados (observed data): dados pessoais obtidos via observação de casos
individuais ou de comportamentos resultantes da interação com um ambiente on-line
(ex.: aparelho utilizado para acesso, conteúdo gerado na plataforma, etc.).
• Dados inferidos (inferred data): dados pessoais inferidos dos dados fornecidos ou
observados (ex.: inferências sobre as características e os interesses de determinado
usuário).
Impactos aos direitos dos indivíduos

A maioria das estratégias de marketing e análises de dados pessoais ocorrem de
maneira mais discreta em comparação com as ações de marketing tradicionais. Sendo
assim, o principal impacto aos direitos dos indivíduos se encontra na esfera da
Desse modo, é importante fornecer ao titular informações claras e acessíveis sobre o
tratamento de seus dados pessoais e possibilidades de exercício dos seus direitos,
permitindo ao titular maior controle sobre os seus dados pessoais.
Nesse sentido, a LGPD estabelece o princípio da transparência (art. 6º, inc. VI) e
livre acesso (art. 6º, inc. IV), regulamentando os requisitos mínimos para o
atendimento desses princípios (art. 9º). A estruturação de uma política de
privacidade, em linguagem clara, é uma medida de mitigação do risco de limitação da
autodeterminação informativa dos titulares.
Pag. 138
Os dados pessoais ocupam papel primordial nas técnicas atuais de marketing,

especialmente no âmbito das redes sociais.
As novas tecnologias permitem alcançar maiores níveis de acesso e análise de

dados. É possível, por exemplo, obter dados pessoais decorrentes da observação
do comportamento do usuário e de inferências a partir desses dados.
Muitos dos processos que envolvem as novas técnicas de marketing são

desconhecidos pelos indivíduos, por isso, apresentam prejuízos à
A LGPD não apresenta disposição legal capaz de proteger os direitos dos

indivíduos em relação ao tratamento de dados pessoais decorrente de ações de
marketing, por isso, não há possibilidade de mitigação de riscos.
Aprendemos como o marketing direto funciona juntamente com as novas tecnologias que
estão no mercado. Veremos quais são as bases legais no tratamento de dados em
marketing. Venha conosco para sabermos um pouco mais.
Bases legais no tratamento de dados em marketing
Escolha da base legal adequada para o tratamento de dados em ações de marketing

Pag. 139
• Como mencionado, a LGPD estabelece um rol diverso de bases legais para o tratamento
de dados pessoais. Nesse ponto, cabe ressaltar que não há hierarquia entre as bases
legais para o tratamento de dados pessoais, cabendo ao agente de tratamento a escolha
da base legal mais adequada, considerando a categoria dos dados pessoais tratados e a
finalidade do tratamento.
• A base legal adequada para fundamentar o tratamento de dados pessoais irá depender
das especificidades da atividade de marketing, do contexto em que é realizada e da
relação com o titular dos dados pessoais.
• Vale lembrar que a adoção de uma base legal adequada para o tratamento de dados
pessoais é requisito essencial de compliance com a LGPD. De acordo com a legislação
brasileira de proteção de dados, o tratamento de dados pessoais poderá ser realizado
apenas nas hipóteses dos arts. 7º e 11. Além disso, deve ser compatível com as
finalidades informadas ao titular (princípio da adequação).
Bases legais não aplicáveis ao tratamento de dados pessoais em ações de marketing

Em primeiro momento, é possível descartar algumas bases legais que não são aplicáveis
para as atividades de marketing:
• Cumprimento de obrigação legal ou regulatória (art. 7º, inc. II): o ordenamento
jurídico brasileiro não determina a obrigatoriedade de realização de
operações de marketing, as regulações setoriais se limitam a apresentar
restrições ao conteúdo e à forma da publicidade/propaganda (ex.: normas do
CONAR e dispositivos do CDC sobre vedação de propaganda enganosa).
• Execução de políticas públicas (art. 7º, inc. III): base legal exclusiva para o
tratamento de dados pela administração pública. O art. 37 da CRFB/88
dispõe sobre o princípio da publicidade administrativa; entretanto, a
publicidade de atos, programas, obras, serviços e campanhas deve ter
caráter educativo e informativo, sendo vedada a promoção pessoal de
autoridades ou servidores públicos (art. 37, §1º). As ações de
publicidade no setor administrativo se diferem, portanto, do marketing
comercial, tratado nesse vídeo, visto que não há interesse de promoção de
produtos e/ou serviços.
• Realização de estudos por órgão de pesquisa (art. 7º, inc. IV): base legal
exclusiva para “órgão de pesquisa”, na definição dada pelo art. 5º, inc.
XVIII.
• Proteção da vida e tutela da saúde (art. 7º, inc. VII e VIII): as ações de
Pag. 140
marketing não objetivam a proteção da vida ou da tutela da saúde do
indivíduo. Ainda que a mensagem publicitária promova algum produto ou
serviço benéfico à saúde do titular, o objetivo específico do tratamento dos
dados pessoais é a oferta do item, não a proteção da vida, nem a tutela da
saúde.
• Execução de contrato ou de procedimentos preliminares (art. 7º, inc. V): essa base
legal é aplicável apenas se o agente de tratamento possui contrato com o
titular dos dados pessoais e se a atividade está inserida no escopo
contratual. Considere o caso de que o titular precisa informar seu e-mail
para realizar o cadastro em um e-commerce. Após realizar o pedido e o pagamento,
o titular recebe mensagens, no seu e-mail, informando a aprovação do pedido e a
atualização sobre a entrega. Nesse caso, as mensagens se inserem no
escopo contratual (compra e venda de produtos via e-commerce), por isso, a
base do art. 7º, inc. V, seria aplicável. Por outro lado, o envio de e-mail
anunciando novos produtos na plataforma está fora do escopo contratual,
nesse caso.
• Exercício regular do direito (art. 7º, inc. VI): a finalidade das ações de
marketing está relacionada à promoção de atividades, produtos e/ou serviços
do agente de tratamento, o que, em primeiro momento, não permite a aplicação da
base legal de exercício regular do direito, diante da ausência de potencial
processo judicial, administrativo ou arbitral, que justifique o tratamento
de dados pessoais.
• Proteção do crédito (art. 7º, inc. X): essa base legal é exclusiva para o
tratamento de dados pessoais com a finalidade específica de proteção do
crédito, como o cadastro em órgãos de proteção do crédito e a análise prévia
para concessão de crédito. Considere a hipótese em que uma instituição
financeira decide realizar uma análise de histórico do correntista para
oferta de um novo cartão de crédito. Para essa análise, anterior à oferta,
pode ser aplicável a base legal de proteção do crédito. Para o envio de mensagem
da oferta de cartão de crédito, seja pelo aplicativo, seja por e-mail, por
exemplo, tem-se uma operação de marketing, fundamentada em outra base legal.
• Como mencionado, a LGPD estabelece um rol diverso de bases legais para o tratamento
Pag. 141
de dados pessoais. No caso do tratamento de dados em ações de marketing, podemos
considerar a possibilidade de aplicação da base legal do consentimento (art. 7º, inc.
I) e do legítimo interesse (art. 7º, inc. IX).
• A escolha entre essas bases legais irá depender das circunstâncias específicas da
atividade de tratamento, por exemplo, se o agente de tratamento confere aos
indivíduos poder de escolha (consentimento) ou se assume os riscos e as
responsabilidades relativos à proteção dos interesses dos indivíduos (legítimo
interesse).
Uma clínica de saúde decide enviar e-mails para os pacientes sobre os sintomas
do vírus da COVID-19, orientações sobre medidas de proteção e indicação dos
exames de detecção disponíveis na clínica, inclusive, informando os valores
correspondentes. Nesse caso, a base legal para o tratamento dos dados pessoais
dos pacientes será a proteção da vida (art. 7º, inc. VII).
O CDC dispõe sobre os requisitos relativos ao tratamento de dados pessoais

para envios de mensagens publicitárias, por isso, as atividades de marketing
podem ser fundamentadas na base legal de cumprimento de obrigação legal ou
regulatória, do art. 7º, inc. II, da LGPD.
As atividades de marketing sempre deverão ser fundamentadas na base legal do

consentimento, independentemente do tipo de dados pessoais tratados e das
demais circunstâncias do tratamento.
As bases legais que possuem maior probabilidade de estarem adequadas a uma

determinada atividade de marketing são o consentimento e o legítimo interesse,
sendo necessário considerar todas as circunstâncias do tratamento de dados
pessoais.
Vimos quais são as bases legais aplicáveis ao tratamento de dados pessoais em ações
de marketing. Veremos, a seguir, o consentimento vs legítimo interesse em marketing.
Pag. 142
Vamos verificar qual é a diferença e como funciona o consentimento e o legítimo
interesse?
Consentimento vs Legítimo interesse em marketing
Marketing e consentimento
Consentimento: manifestação livre, informada e inequívoca pela qual o titular
concorda com o tratamento de seus dados pessoais para uma finalidade
determinada.
Ao eleger a base legal do consentimento, o agente de tratamento deve estar ciente
dos seguintes ônus associados:
• O consentimento coletado por escrito deve estar em cláusula destacada das demais
(art. 8º, §1º);
• Cabe ao controlador o ônus da prova de que o consentimento foi obtido em
conformidade com a LGPD (art. 8º, §2º);
• O controlador deve coletar novo consentimento para comunicar ou compartilhar dados
pessoais com outros agentes de tratamento (art. 7º, §5º);
• Direito de revogação do consentimento por procedimento gratuito e facilitado (art.
8º, §5º) .
Recomenda-se que a base legal do consentimento seja adotada apenas se o agente de
tratamento estiver disposto a conferir maior poder de controle aos titulares de dados
pessoais e atender às exigências legais decorrentes do consentimento. De forma geral,
trata-se, portanto, de uma escolha entre custos e benefícios para os interesses da
organização.
Nas hipóteses em que a ação de marketing envolver o tratamento de dados pessoais
sensíveis, entretanto, será necessária a coleta do consentimento (art. 11, inc. I),
já que a base legal do legítimo interesse não é aplicável para o tratamento de dados
Pag. 143
pessoais sensíveis.
Marketing e legítimo interesse

• De maneira geral, considera-se que a adoção do legítimo interesse como base legal
para as atividades de marketing gera menos custos ao controlador, se comparado com a
opção do consentimento, ainda que sejam necessários alguns cuidados.
• Art. 10, inc. I. O legítimo interesse do controlador somente poderá fundamentar
tratamento de dados pessoais para finalidades legítimas, consideradas a
partir de situações concretas, que incluem, mas não se limitam a: apoio e
promoção de atividades do controlador.
• É evidente que as atividades de marketing se inserem na hipótese do art. 10, inc.
I, da LGPD, visto que objetivam promover os produtos e os serviços do controlador.
Obrigações e boas práticas na adoção da base legal do legítimo interesse

A partir dos dispositivos da LGPD, depreende-se que o tratamento de dados pessoais
fundamentado no legítimo interesse deve se apoiar em finalidades legítimas, e não
deve prevalecer sobre os direitos e as liberdades fundamentais dos titulares de dados
pessoais.
O GDPR também prevê a base legal do legítimo interesse e as autoridades europeias,
como o ICO (International Commissioner’s Office), recomendam a elaboração do Teste de
Legítimo Interesse (LIA), composto pelos testes de finalidade, necessidade e
proporcionalidade, a fim de verificar a viabilidade da base legal do legítimo
interesse.
• Teste de finalidade: o objetivo do tratamento é o alcance de um interesse legítimo
do controlador?
• Teste de necessidade: a operação se limita ao tratamento dos dados pessoais
estritamente necessários para o alcance da finalidade?
• Teste de proporcionalidade: o interesse legítimo do controlador é suplantado pelos
direitos e as liberdades fundamentais dos indivíduos?
No que tange à avaliação da proporcionalidade nas atividades de marketing,

recomenda-se considerar os seguintes fatores:
• Se há uma expectativa legítima do titular em relação ao tratamento dos dados
Pag. 144
pessoais. Costuma-se considerar, por exemplo, que o usuário-médio de um aplicativo de
banco possa esperar razoavelmente que a instituição financeira trate seus dados
financeiros para fornecer novos produtos ou serviços. Essa expectativa pode cair,
entretanto, se o banco realiza o tratamento de dados relacionados à cor do usuário
para determinar a oferta dos serviços.
• O potencial incômodo relacionado ao envio de mensagens de marketing indesejadas.
Apresentar uma opção de retirada (opt-out) para o titular pode ajudar a diminuir o
incômodo.
• Os potenciais efeitos da operação para indivíduos vulneráveis, como idosos e
crianças, por exemplo.
• Se é possível conceder parâmetros mínimos de transparência à operação de
tratamento, com informações claras e acessíveis na Política de Privacidade. Esse
ponto é fundamental para a diminuição da assimetria informacional entre o titular do
dado e o controlador.
• Além do Teste de Legítimo Interesse, recomenda-se a elaboração de um relatório de
impacto à proteção de dados pessoais (RIPD), visto que a LGPD prevê, expressamente,
que o documento poderá ser solicitado pela ANPD quando o tratamento de dados pessoais
tiver fundamento no legítimo interesse (art. 10, §3º).
Pag. 145
Considerando a aplicação das bases legais do consentimento e do legítimo

interesse nas atividades de marketing, assinale a alternativa incorreta:
Uma empresa de eventos decide enviar novidades sobre os próximos shows e peças
de teatro, de acordo com o histórico de eventos dos seus clientes. Assim, se
um cliente demonstrar interesse em shows de músicos sertanejos, a plataforma
irá enviar um e-mail com os próximos eventos desse estilo. Nesse caso,
considerando o teste do legítimo interesse, essa base legal é adequada.
Após realizar a compra no aplicativo de delivery de alimentos, Maria sempre

recebe notificações de promoções e indicações de restaurantes, ao questionar o
controlador via canal do encarregado, recebe a resposta de que a referida
operação de tratamento de dados está fundamentada no legítimo interesse,
indicando um procedimento para opção de retirada. A resposta está adequada do
ponto de vista da LGPD e das melhores práticas sobre o tema.
Determinado provedor de conteúdo na internet, deseja realizar o direcionamento

de anúncios com a segmentação de usuários a partir das suas opiniões
políticas. Assim, decide coletar o consentimento de um grupo de usuários para
testar a ferramenta, seguindo os requisitos da LGPD. A base legal do
consentimento parece ser a mais adequada para a operação.
Determinado banco digital deseja divulgar as fotos e os nomes dos seus

usuários nas redes sociais da empresa, a fim de divulgar seus clientes e
promover os seus serviços. Nesse caso, a base legal mais adequada seria o
legítimo interesse, existindo uma expectativa legítima do titular em relação
ao tratamento de dados pessoais.
Vimos o conceito de consentimento e de legítimo interesse e como ambos funcionam no

marketing. Na próxima videoaula, falaremos sobre o marketing direto no âmbito das
aplicações do GDPR, PECR e DPA no Reino Unido. Vamos ampliar o nosso conhecimento?
Pag. 146
Marketing direito sob o âmbito de aplicação do GDPR, PECR e DPA no Reino Unido
Data Protection Act (DPA) e Privacy and Electronic Communications Regulations (PECR)
• No Reino Unido, o DPA e a PECR estabeleceram regras específicas sobre o marketing
direto. Sendo assim, essas normas devem ser observadas, em conjunto com o GDPR, no
tratamento de dados pessoais para finalidades de marketing direto.
• Segundo o DPA, marketing direto é a comunicação de qualquer tipo de publicidade ou
material de marketing direcionada a indivíduos em particular. Essa definição abrange
qualquer tipo de material de marketing, não apenas de caráter comercial, o que pode
incluir materiais enviados por organizações sem fins lucrativos.
PECR e Consentimento
A PECR dispõe o consentimento como elemento central para autorização das ações de
marketing direto. A seguir, algumas situações em que a PECR exige o consentimento:
• Ligações telefônicas para números cadastrados nos serviços de preferência
(Telephone Preference Service - TPS);
• Ligações telefônicas para indivíduos que rejeitaram as ligações;
• Ligações telefônicas automáticas;
• Envio de e-mails e notificações para indivíduos sem uma relação prévia com a
organização (soft opt-in) ou que tenham optado por não receber mensagens.
Conforme as orientações do Information Commissioner’s Office (ICO), nas hipóteses em
que a PECR não exige o consentimento, a base legal do legítimo interesse pode ser
aplicável.
Além disso, o ICO recomenda a manutenção dos registros do consentimento e de
documentação que justifique o legítimo interesse, quando aplicável.
GDPR e Legítimo Interesse Pag. 147

• De acordo com o Recital 47 do GDPR, o tratamento de dados pessoais para fins de
marketing direto pode ser considerado como realizado pelo interesse
legítimo do controlador.
• De acordo com o ICO, essa possibilidade indicada pelo GDPR auxilia a demonstração
da finalidade legítima, em cumprimento da fase do teste de finalidade do LIA. O
controlador deverá demonstrar, entretanto, que a operação atende aos testes da
necessidade e proporcionalidade.
No que tange ao marketing direto no Reino Unido, deve-se observar apenas o

disposto no GDPR ante a ausência de normas setoriais sobre o tema.
Uma rede de e-commerce, que possui atuação no Reino Unido, decide enviar
e-mail marketing para todos os usuários que acessam o site, independentemente
de cadastro. Considerando as normas do PECR, a operação está adequada.
O GDPR não apresenta menção específica sobre a possibilidade de adoção da base

legal do legítimo interesse nas atividades de marketing direto.
Uma ONG de prevenção ao desmatamento, com atuação no Reino Unido, decidiu

enviar e-mails para todos os inscritos no evento promovido pela ONG, com a
divulgação das suas atividades a fim de estimular a participação. De acordo
com o GDPR e o PECR, a coleta do consentimento não é obrigatória para o envio
dos e-mails, sendo possível empregar a base legal do legítimo interesse.
Falamos sobre Data Protection Act (DPA) e Privacy and Electronic Communications
Regulations (PECR). Veremos, na sequência, o direito de oposição na LGPD e na GDPR.
Pag. 148
Direito de Oposição e análise comparativa entre a LGPD e o GDPR
Direito de oposição na LGPD

• Art. 18, §2º. O titular pode se opor a tratamento realizado com fundamento em uma
das hipóteses de dispensa de consentimento, em caso de descumprimento ao disposto
na LGPD.
• Para a LGPD, o direito de oposição é cabível apenas se identificada alguma
irregularidade ao disposto na LGPD, compreendendo-se que é do controlador o ônus de
demonstrar a regularidade do tratamento de dados pessoais.
Direito de oposição no GDPR
• O art. 21, do GDPR, garante aos titulares o direito de se opor ao tratamento de
dados pessoais, a qualquer tempo, quando a base legal para o tratamento de dados
pessoais for o legítimo interesse ou o exercício de funções de interesse público.
• O GDPR determina que o controlador deverá se abster de realizar o tratamento dos
dados pessoais, a não ser que demonstre que possui fundamentos legítimos para o
tratamento que se sobreponham a interesses, direitos e liberdades do titular de
dados, ou que realiza o tratamento dos dados pessoais para o exercício de direitos em
ações judiciais.
Direito de oposição e marketing

• O GDPR prevê direito de oposição absoluto nas hipóteses em que o tratamento de
dados pessoais é realizado para fins de marketing direto. Trata-se do chamado
“opt-out”, ou opção de retirada.
• De acordo com o ICO, a garantia do direito de oposição não significa que o
controlador deverá eliminar todos os dados pessoais do titular, mas deverá
interromper o tratamento dos dados pessoais relacionados, especificamente, às ações
Pag. 149
de marketing direto. Assim, o controlador deverá respeitar a preferência do titular
quanto ao não recebimento de mensagens de marketing.
• Ainda que a LGPD não preveja o direito absoluto de oposição em hipóteses de
tratamento de marketing direto, considera-se uma boa prática fornecer a possibilidade
de recusa no recebimento de mensagens.
Direito de oposição e legítimo interesse

• De acordo com a LGPD, a base legal do legítimo interesse não é aplicável nas
hipóteses em que prevalecem os direitos e as liberdades fundamentais do titular (art.
7º, inc. IX). Por isso, é essencial a avaliação cuidadosa da requisição do direito de
oposição do titular, pois, em algumas hipóteses, há a prevalência dos direitos e das
liberdades individuais, o que afasta o legítimo interesse do controlador.
• Por exemplo, a insistência no envio de mensagens de marketing direto, mesmo após a
manifestação da oposição do titular, pode ser considerada abusiva sob o ponto de
vista do Código de Defesa do Consumidor, o qual dispõe que o consumidor não pode ser
exposto ao constrangimento de ligações, inclusive para os inadimplentes (art. 42, do
CDC).
• Nesse caso, a continuidade do tratamento dos dados pessoais para fins de marketing
direto estaria em violação à LGPD, pois os direitos do consumidor prevalecem sobre os
interesses do controlador, o que afasta a base legal do legítimo interesse (art. 7º,
inc. IX).
Pag. 150
A LGPD prevê que, quando o tratamento de dados tiver a finalidade de marketing

direto, o titular dos dados pessoais tem direito absoluto à oposição ao
tratamento.
De acordo com o GDPR, o titular terá direito de oposição ao tratamento de

dados pessoais que tiver fundamento em quaisquer das hipóteses de dispensa do
consentimento.
Pedro possui plano de telefonia móvel com a operadora Ligue Mais, entretanto,
decide mudar de operadora. Após a realização da portabilidade, Pedro continua
recebendo SMS e ligações de telemarketing da sua antiga operadora, mesmo após
solicitar a interrupção das mensagens. Nesse caso, a referida operação de
marketing direto da Ligue Mais está em desacordo com a LGPD.
Considerando o ordenamento jurídico brasileiro, não se observa possibilidade

de concessão do direito de oposição em atividades de marketing direto.
Analisamos como funciona o direito de oposição e o legítimo interesse. No próximo

módulo, abordaremos sobre a propriedade intelectual. Vamos conhecer mais sobre esse
assunto.
Pag. 151
11 | Propriedade intelectual e contratos

relacionados
• Entender o conceito de propriedade intelectual.
• Conhecer a amplitude do tema da propriedade intelectual.
• Entender o contrato de licença de uso, comercialização e transferência.
• Entender como funciona o contrato de transferência de know-how.
• Identificar os tipos de contratos de licença de uso da marca.
Introdução à propriedade intelectual
Conceito de propriedade intelectual

“Direitos relativos: às obras literárias, artísticas e científicas, às interpretações
dos artistas intérpretes e às execuções dos artistas executantes, aos fonogramas e às
emissões de radiodifusão, às invenções em todos os domínios da atividade humana, às
descobertas científicas, aos desenhos e modelos industriais, às marcas industriais,
comerciais e de serviço, bem como às firmas comerciais e denominações comerciais, à
proteção contra a concorrência desleal; e todos os outros direitos inerentes à
atividade intelectual nos domínios industrial, científico, literário e artístico.”
Artigo 2°, VII, Convenção que institui a Organização Mundial da Propriedade Intelectual (OMPI) – Estocolmo, 1967.
Modificada em 1979.
Pag. 152
Panorama normativo (Constituição)
• Função social da propriedade:
Art. 5º. [...] XXIII - a propriedade atenderá a sua função social;
• Direitos autorais:
Art. 5º [...] XXVII - aos autores pertence o direito exclusivo de utilização,
publicação ou reprodução de suas obras, transmissível aos herdeiros pelo tempo que a
lei fixar;
XXVIII - são assegurados, nos termos da lei:
a) a proteção às participações individuais em obras coletivas e à reprodução da
imagem e voz humanas, inclusive nas atividades desportivas;
b) o direito de fiscalização do aproveitamento econômico das obras que criarem ou de
que participarem aos criadores, aos intérpretes e às respectivas representações
sindicais e associativas.
• Propriedade Industrial:
Art. 5º. [...] XXIX - a lei assegurará aos autores de inventos industriais privilégio
temporário para sua utilização, bem como proteção às criações industriais, à
propriedade das marcas, aos nomes de empresas e a outros signos distintivos, tendo em
vista o interesse social e o desenvolvimento tecnológico e econômico do País;
Leis Importantes:
• Lei da Propriedade Industrial – Lei n° 9.279/96 (LPI).
• Lei de Direitos Autorais – Lei 9.610/98 (LDA).
• Lei de Software – Lei 9.609/98.
• Lei de Cultivares - Lei 9.456/97.
• Lei de Topografia de Circuitos Integrados - LEI Nº 11.484/2007.
Pag. 153
Assinale a alternativa verdadeira acerca da propriedade intelectual:
Trata-se de direito resguardado apenas na esfera constitucional.
Trata-se de direito implícito na Constituição Federal, mas regulamentado na

seara infraconstitucional.
É direito expresso na Constituição Federal e tratado em legislação

infraconstitucional.
A propriedade intelectual se aplica apenas aos direitos autorais.
Vimos o conceito de propriedade intelectual e qual é o seu panorama normativo. Na

sequência, veremos a amplitude do tema “propriedade intelectual”. Vamos lá!
Amplitude do tema da propriedade intelectual
Atuação e desdobramentos
Um profissional que atua com propriedade intelectual possui amplo espectro de
serviços que pode oferecer.
De maneira geral, é possível dividir os direitos ligados à propriedade intelectual
em:
• Direitos autorais e conexos;
• Direitos de propriedade industrial;
Pag. 154
• Direitos sui generis.
Gêneros e espécies / Direitos autorais e conexos

• Direitos do autor.
• Direitos conexos aos de autor.
• Programas de computador.
Gêneros e espécies / Direitos de propriedade industrial
Criações Industriais:
• Patentes de Invenção.
• Patentes de Modelo de Utilidade.
• Desenhos Industriais.
Sinais Distintivos:
• Marcas.
• Indicação Geográfica.
Segredo industrial e repressão à concorrência desleal.
Gêneros e espécies / Direitos suis generis

• Cultivares.
• Conhecimentos tradicionais.
• Topografia de circuito integrado.
No rol dos gêneros e das espécies apresentados, existem diversas possibilidades de
atuação, com o objetivo de proteger os direitos patrimoniais e morais, reduzindo
riscos e impulsionando o surgimento e o desenvolvimento de negócios.
Aqui, focaremos os principais contratos ligados à propriedade intelectual.
Pag. 155
No tocante à propriedade intelectual, assinale a alternativa incorreta:
Direitos autorais e conexos abrangem programas de computador.
Direitos de propriedade industrial abrangem Indicação Geográfica.
Direitos de propriedade industrial abrangem marcas.
Direitos do autor são direitos sui generis.
Analisamos alguns tipos de propriedade e como é a aplicação de seus conceitos. Iremos

conhecer agora o contrato de licença de uso, de comercialização e transferência de
tecnologia. Fique com a gente que não irão faltar dicas e informações relevantes para
você e seus negócios.
Contrato de licença de uso, de comercialização e transferência de tecnologia
Introdução
• “Programa de Computador”: é o conjunto organizado de instruções, em linguagem
natural ou codificada, contida em suporte físico de qualquer natureza, de emprego
necessário em máquinas automáticas de tratamento da informação, dispositivos,
instrumentos ou equipamentos periféricos, baseados em técnica digital ou análoga,
para fazê-los funcionar de modo e para fins determinados.
• O regime de proteção à propriedade intelectual de programa de computador é o mesmo
Pag. 156
conferido a obras literárias, ressalvado o direito moral de autoria. Contudo, é
assegurada a reivindicação de “paternidade” do programa e oposição a alterações não
autorizadas.
Contrato de licença de uso, comercialização e transferência

• O uso de programa de computador no Brasil deve ser objeto de contrato de licença.
• Caso não seja realizado o contrato, o documento fiscal relativo à aquisição ou
licenciamento servirá para demonstrar a regularidade do uso.
• Contudo, é recomendada a elaboração do contrato, já que traz a possibilidade de
prever e mitigar riscos e estabelecer disposições que atendam às características do
negócio desenvolvido por ambas as partes.
Da transferência
Quando houver transferência da tecnologia de programa de computador, deve ser feito
registro no Instituto Nacional da Propriedade Industrial (INPI), sob pena de não
produzir efeitos contra terceiros, ou seja, a transferência é válida sem registro,
mas não produz efeitos erga omnes.
O que deve ser entregue para a realização do registro?
• Documentação completa.
• Código-fonte comentado.
• Memorial descritivo.
• Especificações funcionais internas.
• Diagramas.
• Fluxogramas.
• Demais dados técnicos.
Pag. 157
Acerca do contrato de licença de uso, comercialização e transferência de

tecnologia:
Para fins legais, a sua elaboração pode ser substituída por apresentação de
documento fiscal adequado.
Não produz quaisquer tipos de efeitos jurídicos, salvo quando houver registro
no órgão competente.
Não produz efeitos interpartes, salvo quando houver registro no órgão

competente.
O regime a que se submete é completamente distinto das normas de direitos

autorais.
Aprendemos alguns tipos de contratos e de sua importância na mitigação de riscos. Na

sequência, abordaremos sobre o contrato de transferência de tecnologias e know-how.
Contratos de transferência de tecnologias e know-how
Introdução
• Nos últimos anos, o conhecimento e a tecnologia têm se transformado com velocidade
inédita e cada vez maior, de tal forma que o conhecimento passa a ter valor ainda
mais alto do que antes. Além disso, as transformações dificilmente vêm da mesma fonte
e podem ser concentradas por pessoas ou companhias, ainda que estejam realmente
Pag. 158
interessadas.
• O contrato de know-how permite que determinada empresa que não tenha tempo ou
recursos para criar tecnologia própria transfira seu know-how/expertise para que seja
feito desenvolvimento alheio.
Exemplos de contratos de transferência de know-how
• Contrato de licença de direitos
O titular de uma patente ou registro autoriza o uso e a fruição dos direitos de
propriedade, de forma gratuita ou onerosa. É uma “locação” ou “comodato” de direitos.
• Contrato de franchising/franquia
É o acordo entre o detentor de determinada propriedade industrial e um interessado em
obter a permissão para produzir ou comercializar produtos e marcas consolidados no
mercado.
Cases de sucesso na utilização da marca

• O Boticário
• Cacau Show
• Mc Donald’s
• Mr. Cat
• Colchões Ortobom
• Subway
• am pm
• Fábrica de Bolo Vó Alzira
Pag. 159
O contrato de know-how permite a transferência de know-how para que seja feito

desenvolvimento alheio.
O contrato de licença de direitos é a autorização do uso e fruição dos

direitos de propriedade, de forma gratuita ou onerosa.
O contrato de franquia é o acordo entre o detentor de determinada propriedade

industrial e um interessado em obter a permissão para produzir ou
comercializar produtos e marcas consolidados no mercado.
O contrato de know-how não é subdividido em categorias.
Conhecemos alguns cases de sucesso, como Boticário, Cacau Show, entre outros. Na
próxima videoaula, iremos falar sobre o contrato de licença para a exploração de
patente. Você não pode perder. Vamos em mais essa!
Contrato de licença para exploração de patente
Introdução
• O titular de patente ou o depositante poderá celebrar contrato de licença para
exploração (art. 61 da Lei 9.279/1996).
• Nesse caso, aquele que possui a propriedade da patente não a transfere para
terceiro, mas concede o direito de uso para o licenciado.
Pag. 160
• O contrato de licença somente produzirá efeitos em relação a terceiros se for
registrado no INPI.
Aperfeiçoamento de patente
• Toda patente pode ser aperfeiçoada, por avanço do conhecimento, por validação de
uso, mudanças tecnológicas e outros pontos relevantes.
• Nada obstante a patente pertença ao titular, o aperfeiçoamento pertencerá a quem o
houver criado.
• Contudo, quem houver criado o aperfeiçoamento deverá assegurar o direito de
preferência para o outro contratante, seja ele licenciado ou licenciante.
Cuidados com a licença compulsória

O titular da patente pode ser obrigado a licenciá-la (licenciamento compulsório)
sempre que:
• Exercer os direitos dela decorrentes de forma abusiva.
• Praticar abuso de poder econômico.
• Não exploração do objeto da patente no território brasileiro por falta de
fabricação ou fabricação incompleta do produto.
• Comercialização que não satisfaz as necessidades do mercado.
Acerca da licença de exploração de patente, é correto afirmar que:
Será sempre voluntária e não transfere a sua propriedade.
Pode ser voluntária e não transfere a sua propriedade.
Será sempre compulsória e não transfere a sua propriedade.
Pode ser compulsória e transfere a sua propriedade.
Aprendemos a importância da propriedade da patente e como ela funciona. Na próxima
Pag. 161
videoaula, iremos abordar sobre a propriedade da marca e como é o seu uso no
território nacional. Vamos nessa!
Contratos de licença de uso de marca
Introdução
• O titular de registro ou o depositante de pedido de registro poderá celebrar
contrato de licença para uso da marca, sem prejuízo de seu direito de exercer
controle efetivo sobre as especificações, natureza e qualidade dos respectivos
produtos ou serviços.
• Para produzir efeitos em relação a terceiros, o contrato de licença deve ser
averbado no INPI.
Considerações sobre marcas
• A propriedade da marca é adquirida pela expedição de registro válido, assegurando
ao titular o uso exclusivo em território nacional.
• O registro da marca vigora pelo prazo de 10 anos, contados da data de concessão do
registro.
• O prazo é prorrogável por períodos iguais e sucessivos.
Causas de extinção do registro da marca

A prorrogação do registro é vedada:
• Pela expiração do prazo mencionado.
• Pela renúncia, total ou parcial.
• Pela caducidade.
• Quando o titular for domiciliado no exterior e não constituir procurador
qualificado e domiciliado no país.
Pag. 162
A marca caduca a requerimento de quem tenha o legítimo interesse se, após 5 anos da
concessão:
• O uso da marca não teve início no país.
• O uso da marca tenha sido interrompido por mais de 5 (cinco) anos consecutivos, ou
se, no mesmo prazo, a marca tiver sido usada com modificação que implique alteração
de seu caráter distintivo original, tal como constante do certificado de registro.
Acerca das marcas, assinale alternativa incorreta:
O registro da marca pode ser objeto de licenciamento.
O registro da marca pode se extinguir por renúncia parcial.
O registro da marca caduca quando requerido por pessoa com legítimo interesse
e o uso não houver sido iniciado no Brasil por 5 anos.
O registro da marca pode se extinguir por renúncia, mas deve ser total.
Vimos as possíveis causas da extinção do registro da marca e também como evitá-los.

Venha comigo para o próximo módulo. Nele, conheceremos direito e Web 3.0: NFT, DAO,
smart contracts, criptoativos e blockchain. Mais um módulo cheio de informações,
nesse universo dinâmico e maravilhoso que é o universo dos negócios digitais.
Pag. 163
12 | Direito e Web 3.0: NFT, DAO, smart

contracts, criptoativos e blockchain
• Conhecer o conceito de Blockchain.
• Identificar características dos smart contracts.
• Entender o conceito e os aspectos regulatórios dos criptoativos.
• Conhecer a organização autônoma descentralizada, DAO.
• Conhecer o conceito e algumas questões práticas do NFT.
Blockchain
Blockchain
• “Blockchainé um livro-razão compartilhado e imutável que facilita o processo de
registro de transações e o rastreamento de ativos em uma rede. Umativopode
ser tangível (uma casa, um carro, dinheiro, terras) ou intangível (propriedade
intelectual, patentes, direitos autorais e criação de marcas).
Praticamente qualquer item de valor pode ser rastreado e negociado em
uma rede de blockchain, o que reduz os riscos e os custos para todos os
envolvidos.”
• Esse sistema permite o funcionamento e a transação das chamadas criptomoedas, ou
moedas digitais.
Pag. 164
• Surgimento: o conceito de blockchain surgiu pela primeira vez em 2008, no artigo
publicado por Satoshi Nakamoto: “Bitcoin: um sistema financeiro eletrônico
peer-to-peer”.
• Blockchain ≠ Bitcoin: a tecnologia do blockchain surgiu para que o bitcoin pudesse
existir, mas as possibilidades de uso vão muito além das criptomoedas.
• Áreas promissoras de aplicação: sistema financeiro, sistema de saúde, pesquisas
científicas, entre outras.
Funcionamento: rede de blocos encadeados criptografados
Fonte: Blockchain e Aplicações Descentralizadas. Edilson Osorio Junior (OriginalMy.com – mar/2017).
Vantagens da rede de blocos criptografados: (a) segurança, (b) rapidez; (c) menor custo de transferência; (d)
transparência; (e) privacidade.
Blockchain tem seu uso oficializado
Pag. 165
Fonte: Estadão. Acesso:
https://einvestidor.estadao.com.br/criptomoedas/blockchain-governo-oficializa-uso-para-documentos#:~:text=Sistema%20ser%
C3%A1%20usado%20para%20certificar,uma%20data%20e%20hora%20espec%C3%ADfica&text=O%20governo%20brasileiro%20oficializo
u%20na,blockchain%20para%20certificado%20em%20documentos
Exame. Acesso: https://exame.com/future-of-money/bndes-e-tcu-se-unem-para-criar-a-rede-blockchain-brasil/
Blockchain pode ser considerado um tipo de criptomoeda.
O conceito de blockchain pode ser definido como uma cadeia de blocos onde cada
um contém um arquivo e um hash, o que garante que as informações desse bloco
de dados não foram violadas. Todo bloco criado contém a sua hash e a do bloco
anterior, criando uma conexão entre os blocos.
A tecnologia da blockchain somente pode ser utilizada no sistema financeiro,

não sendo aplicável em outras áreas.
O governo brasileiro proibiu o uso da tecnologia da blockchain em seus

documentos.
Pag. 166
Vimos o conceito e como funciona o blockchain. Que tal conhecermos um pouco sobre os
contratos inteligentes, ou smart contracts? Vamos nessa!
Smart contracts
Contratos inteligentes/smart contracts

• Os Smart Contracts, também conhecidos como contratos inteligentes, estão provocando
uma revolução em termos de segurança, economia, precisão e agilidade nos
departamentos jurídicos e nos escritórios de advocacia.
• Conceito: o Smart Contract é uma ferramenta tecnológica que permite a criação de
contratos autoexecutáveis, que não podem ser perdidos, nem adulterados.
• Tecnologia que permite a revolução dos smart contracts: blockchain.
Contrato tradicional (Traditional contract)
Fonte: Blockchain e Aplicações Descentralizadas. Edilson Osorio Junior (OriginalMy.com – mar/2017)
Acesso em: https://www.slideshare.net/Simplilearn/what-is-a-smart-contract-smart-contracts-tutorial-smart-contracts-in-b
lockchain-simplilearn
Pag. 167
Contrato inteligente (Smart contract)
Contratos tradicionais vs Contratos inteligentes
Smart contracts
Vantagens dos smart contracts:
Pag. 168
a) Inviolabilidade e segurança jurídica dos contratos inteligentes.
b) Contrato autoexecutável.
c) Monitoramento de forma automática.
d) Redução de custos para reduzir a dependência de terceiros.
e) Maior agilidade.
f) Menor possibilidade de erros.
Desafios dos smart contracts:
a) Não há legislação específica brasileira.
b) Conhecimento técnico + jurídico para desenvolvimento.
c) Falhas de código na elaboração = erros de execução.
Smart contracts são sistemas de contratos utilizados para executar transações

automaticamente sem a necessidade de uma empresa, governo ou entidade para
intermediar.
Não há necessidade de validação das partes para alteração após a assinatura

digital.
Entre as vantagens dos smart contracts, podemos citar a redução de custos por
reduzir a dependência de terceiros, a maior agilidade e a menor possibilidade
de erros.
Após a assinatura eletrônica de um contrato inteligente, ele passa a ser

monitorado por computadores ligados à rede de Blockchain, onde o contrato
digital foi registrado.
Vimos que o contrato inteligente, ou smart contract, é uma ferramenta tecnológica que
permite a criação de contratos autoexecutáveis, levando esse processo para um outro
nível de segurança. Vamos, na sequência, abordar sobre os criptoativos, seu conceito
e aspectos regulatórios. Vamos em mais essa etapa de nosso aprendizado?
Pag. 169
Criptoativos – conceito e aspectos regulatórios
Conceito de criptoativos
• De acordo com a IN nº 1.888/2019 da Receita Federal, criptoativos são “a
representação digital de valor denominada em sua própria unidade de
conta, cujo preço pode ser expresso em moeda soberana local ou estrangeira,
transacionado eletronicamente com a utilização de criptografia e de
tecnologias de registros públicos distribuídos, que pode ser utilizado
como forma de investimento, instrumento de transferência de valores ou acesso a
serviços, e que não constitui moeda de curso legal” (art. 5º, inc. I).
• Os criptoativos surgiram com a intenção de permitir que indivíduos ou empresas
efetuem pagamentos ou transferências eletrônicas diretamente a outros indivíduos ou
empresas, sem a necessidade de intermediação de uma instituição financeira.
• O funcionamento dos criptoativos se baseia em uma tecnologia de registro
descentralizado, mais conhecida como blockchain.
• Destaca-se que os criptoativos não se confundem com as chamadas moedas eletrônicas,
previstas na legislação brasileira, que são recursos, em reais (R$), mantidos em meio
eletrônico em uma dada instituição financeira e que podem ser utilizados como meios
de pagamento.
Instrução Normativa nº 1.888/2019 e regulação do mercado de criptoativos

• Com a IN nº 1.888/2019, a Receita Federal apresentou obrigações aplicáveis a todos
os atores do mercado de criptoativos no Brasil.
• Além da definição de criptoativo, a IN também traz a definição de “exchange de
criptoativo”, “pessoa jurídica, ainda que não financeira, que oferece serviços
referentes a operações realizadas com criptoativos, inclusive intermediação,
Pag. 170
negociação ou custódia, e que pode aceitar quaisquer meios de pagamento, inclusive
outros criptoativos” (art. 5º, inc. II) .
• A IN define obrigações de prestação de informações direcionadas: (i) às exchanges
de criptoativos domiciliadas no brasil; e (ii) à pessoa física ou jurídica,
domiciliada ou residente no Brasil, quando o valor mensal das operações ultrapasse R$
30.000,00 nas operações realizadas em exchange domiciliada no exterior ou nas
operações que não forem realizadas em exchanges.
• As informações que deverão ser prestadas são: data da operação; tipo da operação;
titulares da operação; criptoativos usados na operação; quantidade de criptoativos
negociados; valor da operação, em reais; valor das taxas de serviços cobradas, em
reais; endereço da wallet de remessa e de recebimento, se houver.
• Nas operações realizadas por pessoas físicas e jurídicas domiciliadas no Brasil,
com exchanges domiciliadas no exterior, a parte deverá prestar as mesmas informações
acima relacionadas, além de identificar a exchange utilizada.
Instrução Normativa nº 1.888/2019 – problemas regulatórios

• Um problema geral sobre essas informações solicitadas é que muitas delas podem não
estar disponíveis, tendo em vista a tecnologia inerente às blockchains. Colocar essas
informações como obrigatórias pode inviabilizar a negociação de alguns criptoativos
que não fornecem alguns desses dados, pois priorizam a privacidade de seus usuários.
• Outra questão é o aumento das obrigações acessórias que devem ser cumpridas pelas
exchanges, o que pode encarecer os serviços prestados e limitar a comercialização de
diferentes tipos de criptomoeda, ameaçando o crescimento do mercado.
• A IN nº 1.888/2019, portanto, apresenta obrigações incompatíveis com as tecnologias
utilizadas no mercado de critopativos, além de dificultar a atuação das empresas de
médio e pequeno porte que atuam no setor.
PL n. 3.825/2019
Em fevereiro de 2022, a Comissão de Assuntos Econômicos (CAE) do Senado Federal
aprovou o PL n. 3.825/2019, que regulamenta as operações de criptoativos no Brasil.
Como principais pontos do PL, destacam-se, obrigatoriedade, que prestadoras de
serviços virtuais devem comunicar operações suspeitas de lavagem de dinheiro para o
Conselho de Controle de Atividades Financeiras (COAF) e retirar da responsabilidade
da CVM de supervisão do mercado de criptoativos, com exceção para oferta pública de
Pag. 171
criptos para captação de recursos no mercado financeiro.
Além disso, o projeto prevê algumas diretrizes, como:
• Promoção da livre iniciativa e da concorrência;
• Reforço do controle e alocação de recursos do cliente;
• Boas práticas de gestão de riscos;
• Garantia da segurança da informação e da proteção de dados pessoais;
• Defesa dos consumidores e da economia popular;
• Garantia da confiabilidade e eficiência das operações.
O texto estipula, ainda, que o Poder Executivo deve criar normas alinhadas aos
padrões internacionais para prevenir a lavagem de dinheiro e a ocultação de bens,
assim como combater atuação de organizações criminosas, o financiamento do terrorismo
e da produção e comércio de armas de destruição em massa. Pelo texto, cabe aos órgãos
indicados pelo Poder Executivo autorizar o funcionamento das corretoras e definir
quais serão os ativos regulados.
Até o momento, não existe qualquer tipo de norma regulamentadora de

criptoativos no Brasil.
Criptoativos podem ser conceituados como ativos virtuais protegidos por

criptografia, conhecidos também como moedas eletrônicas.
O PL n. 3.825/2019 não apresenta menção à livre iniciativa e defesa da

concorrência como orientação das operações de criptoativos.
O principal impasse regulatório sobre o tema de criptoativos é garantir a

prevenção à lavagem de dinheiro e demais atividades criminosas respeitando a
natureza da tecnologia do mercado de criptoativos.
Vimos a importância do criptoativo. Na sequência, iremos conhecer um pouco mais sobre

a DAO (Decentralized Autonomous Organization / Organização Autônoma Descentralizada).
Pag. 172
Organização Autônoma Descentralizada
DAO e Criptoativos
A tecnologia das criptomoedas é
fundamental para compreender o que é DAO,
pois esta garante seu funcionamento
distribuído e autônomo.
Abaixo, seguem alguns elementos do
funcionamento de uma DAO:
• A tecnologia blockchain armazena e Fonte: istockphoto.com/br
mantém a base de dados da DAO de maneira

inviolável;
• Os contratos digitais (smart contracts)
asseguram interações de forma segura;
• Quando as regras previamente estipuladas
são atingidas, os smart contracts se
executam automaticamente;
• Os votos dos participantes de uma DAO
são computados por meio de criptoativos
(tokens).
Exemplos de aplicação
• Maker DAO: plataforma que concede empréstimos em dólar para usuários que depositam
determinadas criptomoeadas. O usuário recebe o empréstimo em troca do depósito de
garantia, sistema estabilizado automaticamente. Os usuários detentores do criptoativo
Maker podem votar nas decisões de taxas, criptomoedas aceitas e participar de
Pag. 173
leilões.
• MolochDAO: o objetivo dessa DAO é arrecadar fundos de forma descentralizada para
ajudar o ecossistema Ethereum. Os fundos arrecadados são destinados a projetos
diversos, de acordo com a votação dos participantes.
Sobre uma organização DAO, assinale a alternativa correta:
Uma estrutura virtual que possui uma fonte de organização centralizada pode
ser considerada uma DAO.
Não há relação entre as tecnologias que permitem a funcionalidade de uma DAO e

de criptoativos.
As decisões de uma DAO são tomadas por votação entre os membros, em que o peso
dos votos é definido de acordo com a quantidade de tokens que cada
participante possui.
A principal característica de uma DAO é a descentralização, assim, todas as

decisões devem ser tomadas por votação igualitária entre os membros.
Conhecemos alguns exemplos de aplicação do DAO. Que tal agora entender a importância
do NFT. Venha entender um pouco mais sobre o Non Fungible Token.
Pag. 174
Definições relacionadas a NFT
NFT - Conceito
• Non / Fungible / Token
• Um NFT é um bem infungível, ou seja, é
um bem que não pode ser trocado por outro
da mesma espécie; um bem único, tal como
uma obra de arte ou um carro de
colecionador.
Fonte: istockphoto.com/br
NFT
• O NFT era um estranho na sociedade até bem pouco tempo, até que passou a tomar as
mídias, principalmente a partir da compra por grandes celebridades e empresários, que
gastavam milhões de dólares com imagens aparentemente simples.
• Por que o NFT vale tanto se é possível “printar” a figura e usá-la ou mesmo gravar
uma música e escutá-la (basta ver que as próprias reportagens a reproduzem)?
• O valor está no fato de um NFT ser único (non tangilble ou intangível), o que
decorre da utilização de tokens criptográficos e do uso da tecnologia de blockchain.
Alguns usos para o NFT
• O NFT é utilizado em várias áreas do mercado e seus criadores prometem a ampliação
do uso.
Veja alguns exemplos:
• Arte
• Jogos
Pag. 175
• Música
• Esportes
Sobre as NFTs, assinale a alternativa correta:
NFT é um bem físico.
NFT é um bem tangível.
NFT reproduz sempre uma figura ou fotografia.
NFT é um bem.
Percebemos como funciona o conceito do NFT e vimos alguns exemplos. Na próxima

videoaula, entenderemos quais são as suas aplicabilidades.
NFT e questões práticas
Caso Tarantino
O diretor Quentin Tarantino anunciou o leilão de sete NFTs relacionadas ao clássico
“Pulp Fiction”. Ocorre que o diretor não seria o titular dos direitos autorais, mas,
sim, o Estúdio Miramax, gigante do cinema. De um lado, Tarantino alega que possui
direito de publicação, o que incluiria os NFTs, enquanto a Miramax afirma que os
Pag. 176
direitos de Tarantino não abrangem novas formas de venda e distribuição.
O caso revela dois pontos interessantes:
• A relevância do tema, que atrai interesses de grandes players.
• O imenso rol de discussões que podem advir dos NFTs, inclusive no tocante à
propriedade intelectual.
Metaverso
• De forma sintética, o metaverso é um ambiente virtual composto por elementos 3D que
se assemelham à realidade. Além disso, pode ser acessado por meio da utilização de
equipamentos sofisticados, como óculos e fones de ouvido que se conectem com a
realidade virtual.
• O objetivo dos criadores é utilizar o metaverso como um novo universo, onde a forma
principal de pagamento seja em criptoativos e os principais bens de negociação sejam
os chamados NFTs.
Terrenos e NFT
• Aproveitando a relação entre NFTs e o metaverso, tem se tornado comum a compra de
bens por algumas figuras. No metaverso, já foram vendidos os primeiros iates,
terrenos, escritórios e outros bens mais simples também chegam por lá, como roupas e
tênis, inclusive anunciados por grandes marcas, como a Nike.
• Por não se tratarem de bens palpáveis, nada mais são que NFTs, dotados de códigos
que garantem a exclusiva propriedade sobre determinado bem.
• O metaverso e os NFTs têm trazido questões como: tributação, partilha, sucessões,
obrigações, contratos, casamento e tantos outros que ainda se apresentarão.
Pag. 177
Sobre os NFTs, assinale a alternativa correta:
Os NFTs constituem uma alternativa ao metaverso.
O metaverso possui NFTs, mas, por se tratar de universo alternativo, não

admite questões ligadas ao direito tradicional.
Os NFTs são dotados de código único que garante a propriedade ao titular.
O metaverso pode ser definido como um token não fungível que constitui as
NFTs.
Finalizamos esta disciplina, na qual abordamos a Lei Geral de Proteção de Dados, a

sua adequação e os aspectos jurídicos dos negócios digitais. Em cada módulo, foram
apresentados conteúdos atuais e importantes, que irão auxiliá-lo(a) em suas decisões.
Até a próxima!
Referências Bibliográficas
BARBOSA, Denis Borges. Contratos em propriedade intelectual. v. 22, p. 03-17, 2003.
Disponível em: http://www.denisbarbosa. addr.com.
BIONI, Bruno. Proteção de Dados Pessoais: A Função e os Limites do Consentimento. 3.
ed. Rio de Janeiro: Forense, 2021.
COTS, Marcio; OLIVEIRA, Ricardo. Lei Geral de Proteção de Dados Comentada. 3. ed. São
Paulo: Thomson Reuters, 2020.
DI PIERRO, Massimo. What is the blockchain?. Computing in Science & Engineering.
v. 19, n. 5, p. 92-95, 2017.
DONEDA, Danilo. Da privacidade à proteção de dados pessoais. São Paulo: Thomson
Reuters Brasil, 2019.
FRAZÃO, Ana; VILLAS BÔAS CUEVA, Ricardo. Compliance e políticas de proteção de dados.
São Paulo: Thomson Reuters Brasil, 2021.
ICO. Data protection impact assessments.
ICO. Sample DPIA Template.
Pag. 178
LAURIA, Ivna Olimpo; MOYSÉS, Aristides; DE CASTRO VIEIRA, Jeferson. Propriedade
Intelectual: proteção jurídica de contratos e royalties. Revista EVS-Revista de
Ciências Ambientais e Saúde, v. 40, n. 3, p. 299-309, 2013.
LEONARDI, Marcel. Legítimo Interesse. Revista do Advogado, v. 39, n. 144, nov. 2019,
pp. 67-73.
MALDONADO, Viviane Nóbrega; BLUM, Renato Opice. Lei Geral de Proteção de Dados
Comentada. 2. ed. São Paulo: Thomson Reuters, 2019.
MENDES, Laura Schertel; DONEDA, Danilo; SARLET, Ingo Wolfgang; RODRIGUES JR., Otavio
Luiz (Coords.). Tratado de Proteção de Dados Pessoais. Rio de Janeiro: Forense, 2021.
MOHANTA, B. K.; PANDA, S. S.; JENA, D. An Overview of Smart Contract and Use Cases in
Blockchain Technology. 2018. 9th International Conference on Computing, Communication
and Networking Technologies (ICCCNT), 2018, pp. 1-4, doi:
10.1109/ICCCNT.2018.8494045.
NOFER, Michael et al. Blockchain. Business & Information Systems Engineering, v.
59, n. 3, p. 183-187, 2017.
NORTA, A. (2015). Creation of Smart-Contracting Collaborations for Decentralized
Autonomous Organizations. In: Matulevičius, R., Dumas, M. (eds) Perspectives in
Business Informatics Research. BIR 2015. Lecture Notes in Business Information
Processing, vol 229. Springer, Cham. https://doi.org/10.1007/978-3-319-21915-8_1.
REGNER, Ferdinand et al. NFTs in Practice – Non-Fungible Tokens as Core Component of
a Blockchain-based Event Ticketing Application. Fortieth International Conference on
Information Systems, Munich, 2019.
RISIUS, Marten; SPOHRER, Kai. A blockchain research framework. Business &
information systems engineering, v. 59, n. 6, p. 385-409, 2017.
TEPEDINO, Gustavo; FRAZÃO, Ana; OLIVA, Milena Donato (Coords.). Lei Geral de Proteção
de Dados Pessoais e suas repercussões no Direito Brasileiro. 2. ed. São Paulo:
Thomson Reuters, 2020.
WANG, S.; DING, W.; LI, J.; YUAN, Y.; OUYANG, F.; WANG, F. Y. Decentralized
Autonomous Organizations: Concept, Model, and Applications. In: IEEE Transactions on
Computational Social Systems, v. 6, n. 5, pp. 870-878, Oct. 2019, doi:
10.1109/TCSS.2019.2938190.
ZHENG, Zibin et al. An overview on smart contracts: Challenges, advances and
platforms. Future Generation Computer Systems, v. 105, 2020, pp. 475-491, ISSN
0167-739X, https://doi.org/10.1016/j.future.2019.12.019.

Apostila LGPD

Enviado por

Dados do documento

Descrição original:

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Apostila LGPD

Enviado por

Direitos autorais:

Formatos disponíveis

SUMÁRIO

Aspectos iniciais da LGPD

Aspectos jurídicos de negócios digitais

1 | Definição e fundamentos da LGPD

Conhecemos um pouco sobre o professor Daniel Becker.

Lei Geral de Proteção de Dados (LGPD)

Normas gerais de interesse nacional

Aprovação e entrada em vigor

Acerca da Lei Geral de Proteção de Dados, assinale a alternativa correta:

Os dispositivos legais passaram a vigorar apenas em agosto de 2021, já que,

A União legislou norma de interesse nacional aplicável a todos os entes

Desde setembro de 2020, já havia aplicação da LGPD, inclusive quanto às

Vimos sobre a definição, os objetivos e a amplitude da Lei Geral de Proteção de

As hipóteses de incidência da LGPD nos termos do art. 3º

Operação de tratamento de dados pessoais realizada em território nacional

Tratamento com objetivo de oferecer bens e serviços ou tratamento de indivíduos

Dados pessoais coletados em território nacional

Assinale a alternativa incorreta:

A LGPD se aplica a todas as operações de tratamento de dados pessoais

A LGPD se aplica a tratamento de dados pessoais ocorridos em meios físicos e

A LGPD, em regra, se aplica a tratamento de dados pessoais realizado por

A LGPD somente se aplica a agentes de tratamento sediados em território

Vimos como é realizado o tratamento dos dados pessoais no território nacional e, em

Hipóteses sobre as quais não incide a Lei Geral de Proteção de Dados

Quando a LGPD não se aplica?

Fins exclusivamente jornalísticos e artísticos.

Selecione a alternativa sobre a qual incide a LGPD:

Lista de aniversário de amigos do colégio de Júlia para controle de entrada e

Veículo de comunicação que realiza matérias jornalísticas e que trata dados de

Órgão público que trata dados de testemunhas arroladas para depoimento em

Realização de questionários estruturados para comprovação de hipótese

Fundamentos da Lei Geral de Proteção de Dados

Fundamentos da Lei Geral de Proteção de Dados

Desenvolvimento econômico e tecnológico e inovação

Não existe hierarquia entre os fundamentos apresentados pela LGPD.

O direito à privacidade prepondera sobre a livre concorrência.

O desenvolvimento tecnológico não prevalece quando em conflito com a

Os fundamentos apresentados pela LGPD são ordenados por hierarquia entre os

Vimos os fundamentos da Lei Geral de Proteção de Dados, como o direito à privacidade,

Fundamentos da Lei Geral de Proteção de Dados

Fundamentos da Lei Geral de Proteção de Dados

O conceito de privacidade abrange o direito à proteção de dados pessoais.

O conceito de privacidade se tornou insuficiente para traduzir a necessidade

O direito à proteção de dados pessoais abrange o direito à privacidade.

O direito à privacidade afasta a previsão de direito à proteção de dados

Falamos de alguns fundamentos da LGPD, como a defesa do consumidor, dos Direitos

Fundamentos da Lei Geral de Proteção de Dados

Fundamentos da Lei Geral de Proteção de Dados

Assinale a alternativa correta:

A dignidade somente é garantida pela LGPD em razão de previsão constitucional.

O direito ao exercício da cidadania é aplicável também às pessoas jurídicas.

A dignidade e o exercício da cidadania não constituem fundamentos da LGPD, mas

O direito ao exercício da cidadania é aplicável apenas às pessoas naturais.

2 | Proteção de Dados Pessoais como

Conceito de privacidade e evolução do tema

Conceito inicial de privacidade

Insuficiência do conceito de privacidade

Considerando que o direito à privacidade não é estático e evolui conforme

O direito à privacidade evoluiu e deu origem ao direito à proteção de dados

O direito à privacidade se restringe ao direito de ser deixado só.

Atualmente, o direito à privacidade não engloba o direito de ser deixado só.

A proteção de dados pessoais surge para tutelar as relações ocorridas em meio

A ANPD é responsável por zelar, regular e fiscalizar a proteção de dados