ALLAN KOVALSCKI

ARNOR MILTON JUNIOR

LUCAS PAGLIA

LGPD NAS ESTATAIS

 ALLAN KOVALSCKI
ARNOR MILTON JUNIOR
LUCAS PAGLIA

LGPD NAS ESTATAIS

 Coordenação Editorial
Pedro Camilo de Figueirêdo Neto

Conselho Editorial
DOUTORES:
Amanda Barbosa
Audrey de Macêdo Carvalho
Claudia de Faria Barbosa
Ionã Carqueijo Scarante
João Evangelista do Nascimento Neto
José Gileá
José Rômulo de Magalhães Filho
Luciano Sérgio Ventim Bomfim
Maria João Guia (Portugal)
Nadialice Francischini de Souza
Régia Mabel da Silva Freitas
Ricardo Maurício Freire Soares
Sheila Marta Carregosa Rocha
Urbano Félix Pugliese do Bomfim
MESTRES:
Bruno Barbosa Heim
Clever Jatobá
Daniela Magalhães Costa de Jesus
Fábio S. Santos
Geraldo Calasans Silva Júnior
Isan Almeida Lima
Kátia Maria Mendes da Silva
Marcelo Politano de Freitas
Milton Silva de Vasconcellos
Pedro Camilo de Figueirêdo Neto
Rodrigo Luduvice da Silva
Sueli Bonfim Lago
Tássia Louise de Moraes Oliveira
Thacio Fortunato Moreira

Programação Visual de Capa Diagramação

Fernando Campos Alfredo Barreto

Revisão
Joana Cunha

A reprodução total ou parcial desta obra, por qualquer modo, somente será permitida com
autorização da editora.
(Lei nº 9.610 de 19.02.1998)

CIP – Brasil. Catalogação na fonte

Kovalscki, Allan; Milton Junior, Arnor; Paglia, Lucas -

LGPD nas estatais / Allan Kovalsck, Arnor Milton Junior, Lucas Paglia – Salvador,
BA: Editora Mente Aberta, 12 de abril de 2023.
55 p.
13,207 Mb
ISBN: 978-85-66960-99-0

1. Lei Geral de Proteção de Dados 2. Estatais. 3. Governança. I. Kovalscki, Allan. II.

Milton Junior, Arnor. III. Paglia, Lucas. IV. Rede Governança Brasil. V. Título.
CDD 658
 REDE GOVERNANÇA BRASIL – RGB
DIRETORIA EXECUTIVA
Presidente – Petrus Elesbão Lima da Silva
Vice-presidente - Flávio Feitosa Costa
Diretor administrativo-financeiro – Fernando Ferrazza
Diretor jurídico - Leonardo Andreotti Paulo de Oliveira

CONSELHO DE ADMINISTRAÇÃO
Presidente – Prof. Luiz Antonio Peixoto Valle
Vice–presidente – Paulo Renato Menzel
Conselheiro – José Luiz Bringel Vidal
Conselheira – Carla Simone Viana Lage

CONSELHO DE ÉTICA
Presidente – João Felipe Cunha Pereira
Conselheiro titular – Daniel Picolo Catelli
Conselheira titular – Andréa Esper Xavier
Conselheira suplente – Sheila Pereira de Campos

CONSELHO FISCAL
Presidente – Lucas Barbosa Paglia
Vice-presidente – Elys Tevânia
Conselheiro titular – Walter Marinho
Conselheiro suplente – Marina Cavalini Bailão

COORDENAÇÃO DA CARTILHA LGPD NAS ESTATAIS

COMITÊS RESPONSÁVEIS PELO PROJETO
Comitê de Governança em Estatais
Comitê Governança em Lei Geral de Proteção de Dados – LGPD

COORDENAÇÃO DA PUBLICAÇÃO
Cristiane Nardes Farinon
Lara Cecília Monteiro

COORDENAÇÃO DO COMITÊ DE GOVERNANÇA EM ESTATAIS

Juliana Vieri
Herbert Marcuse Megredo Leao

COORDENAÇÃO DO COMITÊ GOVERNANÇA EM LEI

GERAL DE PROTEÇÃO DE DADOS – LGPD
Lucas Paglia
Danielle Campello Tavares Gomes

GERENTE DE OPERAÇÕES
Cíntia Caroline da Silva e Silva Reis
COORDENAÇÃO DE MARKETING, COMUNICAÇÃO E EVENTOS
Pedro Barbosa

EQUIPE TÉCNICA E ELABORAÇÃO

Allan Kovalscki
Arnor Milton Junior
Lucas Paglia

INSTITUTO LATINO-AMERICANO DE GOVERNANÇA

E COMPLIANCE PÚBLICO – IGCP
PRESIDENTE
Ricardo Todeschini Zilio

CONSELHEIROO FISCAL
Luiz Gustavo Wiechoreki

DIRETORIA EXECUTIVA
Diretora Administrativa, Ensino e Projetos - Dinaura Tedesco
Diretor Financeiro - Henrique Farinon
Diretora de Governança - Cristiane Nardes Farinon

COORDENAÇÃO DE PROJETOS
Sérgio Ricardo Costa Reis
João Vitor Machado Barbosa

CONSULTORA JURÍDICA
Ana Carolina Massa Gomes

CONSULTORA JURÍDICA Ana Carolina Massa

 PALAVRAS DO EMBAIXADOR DA
REDE GOVERNANÇA BRASIL

Caro leitor,

Em 14 de agosto de 2018 foi sancionada a Lei

n. 13.709, conhecida como Lei Geral de Proteção de
Dados Pessoais (LGPD). Ela estabelece um conjunto
de regras para coleta, tratamento, armazenamento
e compartilhamento de dados pessoais. A lei tem
como objetivo proteger os direitos fundamentais de
liberdade e de privacidade, e o livre desenvolvimento
da personalidade da pessoa natural.
Com isso, este material, produzido por grandes especialistas do tema, como
Allan Kovalscki, Arnor Milton Junior e Lucas Paglia, apresenta pontos relevantes,
orientações quanto à sua aplicabilidade, além de estabelecer conceitos e
princípios aplicados e sugerir algumas ações básicas para o programa de
implementação.
Atualmente vivemos em um momento com alto volume de informações
existentes e de inovações tecnológicas que permitem que o tratamento de dados
seja realizado de diversas formas. Por isso, é de suma importância a preocupação
com as mudanças que a LGPD vai gerar em toda a sociedade, empresas, fundações,
cooperativas, órgãos públicos e secretarias públicas, bem como para o próprio
cidadão, titular de dados pessoais.
A LGPD tem se tornado um ponto de atenção crucial para todas as empresas
brasileiras, sobretudo aquelas que manipulam dados automatizados. O Brasil
passa a integrar o rol dos 120 países que possuem lei especí�ica para a proteção

LGPD NAS ESTATAIS | 7

de dados pessoais. Com impacto direto nas relações de trabalho, a lei torna-se,
hoje, um foco fundamental nas organizações.
Além do conceito, orientações e aplicabilidade, a obra LGPD nas Estatais, da
Editora Mente Aberta, destaca, em um dos capítulos, a importância da governança
por meio da implantação de mecanismos de liderança, estratégia e controle.
Desde 2012, quando me preparava para assumir a presidência do Tribunal de
Contas da União (TCU), estabeleci, primeiro, a melhoria da governança pública
como uma diretriz estratégica do tribunal no biênio 2013/2014, trabalhando
arduamente para fazer a diferença na entrega de resultados em diversas áreas
do nosso país, entre essas a governança de privacidade de dados.
Essa transformação envolve considerar a privacidade e a proteção de dados
pessoais em todas as etapas das atividades desenvolvidas na sociedade, desde
o seu momento inicial, em que são colhidas as informações pertinentes, até à
exclusão dos dados pessoais tratados.
A LGPD mostra-se um caminho para que os brasileiros sigam e tenham mais
controle sobre o que é feito com seus dados pessoais, construindo assim um
cenário de segurança jurídica, com padronização de normas e procedimentos,
para que a sociedade se bene�icie com igualdade de condições para competir.
Desejo, caro leitor, que esta obra também possa auxiliá-lo a dar esse grande
passo na educação sobre privacidade e proteção de dados, e que seja exemplo
para todas as instituições o uso das boas práticas para transformar a nossa
sociedade em um ambiente mais seguro para o tratamento de dados pessoais.
Abraço carinhoso!

Augusto Nardes
Ministro do Tribunal de Contas da União e Embaixador da Rede Governança Brasil

LGPD NAS ESTATAIS | 8

 SUMÁRIO

1 Introdução, 9

2 De�inições, 11

3 Princípios na LGPD, 16

4 Hipóteses de tratamento de dados, 23

5 Governança na LGPD, 33

Referências, 51

LGPD NAS ESTATAIS | 10

 1
INTRODUÇÃO

Visando garantir o direito fundamental à privacidade e à equiparação com

o cenário internacional, viu-se a necessidade de uma regulação que visasse à
tutela da proteção de dados pessoais. Dessa forma, em 14 de agosto de 2018,
foi sancionada a Lei n. 13.709, também conhecida como LGPD (Lei Geral de Pro-
teção de Dados Pessoais), a qual dispõe sobre o tratamento de dados pessoais,
inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito
público ou privado, com o objetivo de proteger os direitos fundamentais de li-
berdade e de privacidade e o livre desenvolvimento da personalidade da pessoa
natural.
A lei regula as atividades e o tratamento dos dados entre empresas, insti-
tuições de terceiro setor ou organizações religiosas, órgãos públicos e pessoas
�ísicas. Dessa forma, temos que entender o que é tratamento de dados pessoais.
Tratamento é qualquer operação efetuada so-
bre dados pessoais, por meios manuais ou auto-
matizados. A mera visualização de dados por um
servidor público já caracteriza tratamento, estan-
do, assim, sob o escopo da LGPD.
Lembra-se que a LGPD só se aplica aos dados
pessoais, que são aqueles relacionados à pessoa
natural (�ísica) identi�icada ou identi�icável. Na
ilustração ao lado podemos entender o ciclo de
vida dos dados.

LGPD NAS ESTATAIS | 12

 2
DEFINIÇÕES

Para mais clari�icar o alcance da LGPD e sua importância no âmbito estatal,

apresentaremos, a seguir, expressões relevantes, acompanhadas de suas de�ini-
ções:

• administração pública direta ou indireta – a administração pública é

segmentada em administração direta e indireta. A gestão direta é formada por
departamentos diretamente relacionados aos assuntos da confederação, como
sindicatos, estados, condados federais e municípios. Já a gestão indireta é rea-
lizada por organizações descentralizadas e autônomas, mas sob o controle do
estado;
• Autoridade Nacional de Proteção de Dados (ANPD) – trata-se do órgão
de esfera federal responsável pela proteção dos dados pessoais, que rege a im-
plementação e �iscalização no cumprimento da LGPD no Brasil;
• Agência Nacional de Vigilância Sanitária (Anvisa) – trata-se do órgão
regulador, na forma de um órgão institucional especial, vinculado ao Ministério
da Saúde;
• Cadastro Geral de Empregados e Desempregados (Caged) – é o registro
de admissão, demissão e transferência de trabalhadores com contrato de traba-
lho regido pela Consolidação das Leis do Trabalho (CLT);
• Estatuto da Criança e do Adolescente (ECA) – remete-se ao documento
que agrupa as leis exclusivas que garantem os direitos e deveres de crianças e
adolescentes;

LGPD NAS ESTATAIS | 14

 • Cadastro de Pessoa Física (CPF) – é o cadastro de contribuintes mantido
pela Receita Federal do Brasil, no qual qualquer pessoa �ísica, independente-
mente de idade ou nacionalidade, inclusive pessoas falecidas, pode ser cadas-
trada uma única vez;
• consentimento – formalização da autorização, concordância e/ou aprova-
ção que comprova a autorização pelo responsável legal de um indivíduo;
• dados – signi�icam as informações pessoais gerais e pessoais sensíveis uti-
lizadas em qualquer formato;
• dados pessoais – qualquer informação relacionada a pessoa natural iden-
ti�icada ou identi�icável;
• dados pessoais sensíveis – dado pessoal sobre origem racial ou étnica,
convicção religiosa, opinião política, �iliação a sindicato ou a organização de ca-
ráter religioso, �ilosó�ico ou político, dado referente à saúde ou à vida sexual,
dado genético ou biométrico, quando vinculado a uma pessoa natural;
• titular ou titular de dados pessoais – toda pessoa natural cujos dados
pessoais são objeto de tratamento;
• base legal – são os dispositivos especí�icos no qual constam as hipóteses
de tratamentos dos dados pessoais;
• encarregado de dados pessoais – é o colaborador indicado para atuar
como canal de comunicação entre a empresa/instituição, titulares de dados pes-
soais e ANPD. Suas principais funções estão previstas no artigo 41 da LGPD;
• lei – signi�ica qualquer lei, decreto, regulamento, exigência, regra, portaria,
instrução, resolução, ordem governamental ou qualquer outra regulamentação
aplicável, emanada por autoridade governamental competente;
• mapeamento de dados pessoais – registro detalhado da atividade envol-
vendo dados pessoais, considerando a origem dos dados pessoais, quais dados

LGPD NAS ESTATAIS | 15

serão coletados, �inalidade, quem terá acesso, locais de armazenamento, ava-
liação da vulnerabilidade por segurança da informação, período de retenção,
forma de descarte, entre outras informações.
• pessoa natural – expressão utilizada para referenciar a pessoa �ísica, indi-
víduo que possui deveres e diretos;
• pessoa jurídica – tem como abreviatura PJ, com �inalidades de atuação
formalizadas no Cadastro Nacional Da Pessoa Jurídica (CNPJ), pode ser consti-
tuída por pessoas �ísicas ou outras pessoas jurídicas;
• anonimização e pseudonimização – dados anonimizados são aqueles
relativos a determinado titular que não possa ser identi�icado, levando-se em
consideração a utilização de ferramentas técnicas e disponíveis por ocasião
do tratamento, ou seja, anonimizar dados é descaracterizar a possibilidade de
identi�icação de uma pessoa, por meio dos dados pessoais coletados a respeito
dela, já que ao serem anonimizados todas as características que possibilitam a
identi�icação são apagadas, sem possibilidade nenhuma de serem recuperadas.
Pseudonimização é o tratamento por meio do qual um dado perde a possibilida-
de de associação, direta ou indireta, a um indivíduo, senão pelo uso de informa-
ção adicional mantida separadamente pelo controlador, ou seja, na pseudonimi-
zação é possível a reversão com aplicação de técnicas simples e em controle da
empresa/instituição;
• terceiros – indivíduos ou empresas que participam indiretamente do pro-
cesso, geralmente regulamentado por meio de contrato;
• tratamento ou tratamento de dados pessoais – qualquer operação ou
conjunto de operações efetuadas com dados pessoais ou sobre conjuntos de da-
dos pessoais, por meios automatizados ou não automatizados, tais como: coleta,
registro, organização, estruturação, conservação, adaptação, alteração, recupe-

LGPD NAS ESTATAIS | 16

ração, consulta, utilização, divulgação por transmissão, difusão ou qualquer ou-
tra forma de disponibilização, comparação, interconexão, limitação, eliminação
ou destruição.

LGPD NAS ESTATAIS | 17

 3
PRINCÍPIOS NA LGPD

Na Lei Geral de Proteção de Dados (LGPD) estão as diretrizes para o trata-

mento adequado dos dados pessoais. Dentre tais diretrizes, podemos encontrar
os 10 princípios os quais deverão ser cumpridos na sua integralidade.
Assim, os princípios previstos na LGPD são os seguintes:

3.1 PRINCÍPIO DA FINALIDADE

O tratamento de dados deve ser realizado para propósitos legítimos, especí-

�icos, explícitos e informados ao titular, sem a possibilidade de tratamento pos-
terior de forma incompatível com esses propósitos.

LGPD NAS ESTATAIS | 19

 Por meio deste princípio são estabelecidos os limites do tratamento dos da-
dos pessoais e cabe ao controlador: garantir a “�idelidade” entre a proposta de
tratamento dos dados pessoais desde a sua concepção e a execução desse tra-
tamento, evitando o uso secundário dos dados (quando não compatível com a
�inalidade original e/ou não atender às expectativas do titular).
A comunicação (explicita e expressa) deve ser a mesma a todos os envolvi-
dos (titulares, operadores entre outros), de forma clara, objetiva e inequívoca, a
�im de que todos tenham o mesmo entendimento sobre a proposta.
Além das diretrizes da Lei Geral de Proteção de Dados pessoais, devem ser
consideradas e cumpridas as demais legislações que possam impactar o trata-
mento dos dados pessoais.
Deve-se realizar o descarte dos dados quando alcançada a �inalidade ou
quando esses dados deixarem de ser necessários (expirando os prazos legais de
armazenamento).

3.2 PRINCÍPIO DA ADEQUAÇÃO

Segundo o princípio da adequação, deve haver compatibilidade do trata-

mento com as �inalidades informadas ao titular, de acordo com o contexto do
tratamento.
Este princípio visa garantir a compatibilidade entre a proposta de tratamen-
to de dados pessoais informada ao titular e o tratamento posterior. O controla-
dor deve atentar-se e garantir que o tratamento seja executado em conformida-
de com a proposta comunicada.

LGPD NAS ESTATAIS | 20

3.3 PRINCÍPIO DA NECESSIDADE

O princípio da necessidade visa à limitação do tratamento de dados ao míni-

mo necessário para realização de suas �inalidades, com abrangência dos dados
pertinentes, proporcionais e não excessivos em relação às �inalidades dese tra-
tamento.
Para atender às diretrizes desse princípio o controlador deverá coletar os
dados pessoais estritamente necessários para atingir a �inalidade pretendida
(dados pertinentes e não excessivos).

3.4 PRINCÍPIO DO LIVRE ACESSO

Visa garantir ao titular de consulta facilitada e gratuita sobre a forma e a

duração do tratamento, bem como sobre a integridade de seus dados pessoais.
O controlador deve garantir ao titular o livre acesso aos seus dados pessoais,
os motivos de tratamento e de forma gratuita, ou seja, o controlador deve adotar
mecanismos que permitam ao titular acompanhar constantemente a utilização
dos seus dados, identi�icar eventuais inexatidões (dados incorretos ou desatu-
alizados), bem como as correções, e requerer o descarte quando identi�icado o
tratamento excessivo, fora de contexto ou ilícito, gratuitamente.

3.5 PRINCÍPIO DA QUALIDADE DOS DADOS

Este princípio objetiva garantir, aos titulares, exatidão, clareza, relevância e

atualização dos dados de acordo com a necessidade e para o cumprimento da
�inalidade do tratamento.

LGPD NAS ESTATAIS | 21

 Tal princípio determina ao controlador, perante o titular, o dever de garantir
a exatidão e a precisão no tratamento dos dados pessoais, ou seja, sua qualidade.
Os dados precisam ser coerentes e verídicos com a realidade, e isso signi�ica
a necessidade de buscar formas para que o banco de dados esteja atualizado,
visando ajustar possíveis mudanças.

3.6 PRINCÍPIO DA TRANSPARÊNCIA

Esse princípio busca garantia aos titulares de dados informações claras, pre-
cisas e facilmente acessíveis sobre a realização do tratamento e os respectivos
agentes de tratamento, observados os segredos comercial e industrial.
O controlador poderá adotar métodos para informar aos titulares, de forma
massiva, sobre as propostas de tratamento (gerais ou especí�icas), como publi-
cações de políticas e/ou avisos de privacidade, detalhando a proposta de trata-
mento dos dados pessoais e os respectivos agentes envolvidos.
Essas informações também deverão ser concedidas aos respectivos titula-
res, quando solicitadas individualmente. Também cabe ao controlador informar
ao titular sobre a legalidade, legitimidade e segurança do tratamento dos dados
pessoais, permitindo ao titular re�letir sobre o tratamento e tomar decisões de
acordo com seus direitos.

3.7 PRINCÍPIO DA SEGURANÇA

O princípio da segurança visa garantir a utilização de medidas técnicas e ad-

ministrativas aptas a proteger os dados pessoais de acessos não autorizados e

LGPD NAS ESTATAIS | 22

de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação
ou difusão.
Esse princípio determina a adoção de medidas de segurança para proteger
os dados que são tratados, evitando de toda forma incidentes que afetem o titu-
lar dos dados pessoais, ou seja, havendo tratamento de dados, é preciso garantir
que o processo seja feito da forma segura. Isso signi�ica investir dinheiro, tempo,
contratar tecnologias, capacitar e/ou contratar pro�issionais.

3.8 PRINCÍPIO DA PREVENÇÃO

Visa a adoção de medidas para prevenir a ocorrência de danos em virtude do

tratamento de dados pessoais.
O princípio também está atrelado aos outros, visando a adoção de ações
para evitar a ocorrência de danos aos titulares de dados pessoais, cabendo ao
controlador elaborar e implantar medidas internas preventivas (programa de
proteção aos dados pessoais), mitigando o risco de materialização de incidentes
e/ou do uso inadequado dos dados pessoais.
O controlador tem a responsabilidade de manter seus métodos protetivos
atualizados, seja pela adoção de novos métodos de tratamento, seja pela implan-
tação de novas tecnologias.

3.9 PRINCÍPIO DA NÃO DISCRIMINAÇÃO

Esse princípio assegura a impossibilidade de realização do tratamento para

�ins discriminatórios ilícitos ou abusivos.

LGPD NAS ESTATAIS | 23

 Assim, tal princípio determina ao controlador a utilização de procedimentos
técnicos e organizacionais para inviabilizar a materialização de qualquer ação
discriminatórias e/ou abusivas no tratamento dos dados pessoais e/ou dados
pessoais sensíveis, seja em procedimentos manuais, seja nos automatizados.

3.10 PRINCÍPIO DA RESPONSABILIZAÇÃO E DA PRESTAÇÃO DE

CONTAS

Assegura a demonstração, pelo agente, da adoção de medidas e�icazes e ca-

pazes de comprovar a observância e o cumprimento das normas de proteção de
dados pessoais e, inclusive, da e�icácia dessas medidas.
O objetivo deste princípio é alertar os controladores e operadores de que são
eles os responsáveis pelo cumprimento dos fundamentos, exigências legais e
dos princípios descritos anteriormente. Para isso, os agentes envolvidos no tra-
tamento deverão adotar medidas que sejam e�icazes, além de produzir evidên-
cias que permitam comprovar que os procedimentos adotados estão de acordo
com as exigências legais vigentes.

LGPD NAS ESTATAIS | 24

 4
HIPÓTESES DE TRATAMENTO DE DADOS

Além da obrigatoriedade de atender aos princípios descritos no capítulo an-

terior, é necessário enquadrar esse tratamento em ao menos uma das hipóteses
previstas no artigo 7.o da LGPD, as quais garantem a legalidade no tratamento
de dados e auxiliam na criação de uma relação mais justa com o titular. Essas
hipóteses de tratamento também são conhecidas como “bases legais”.
Um fator importante sobre essas hipóteses de tratamento é que não existe
Sobreposição entre elas, ou seja, nenhuma se sobrepõe à outra.

Assim, as hipóteses requerem que o tratamento de dados seja feito:

A) Mediante o fornecimento de consentimento pelo titular – para tor-

nar válido esse embasamento legal, alguns requisitos devem ser cumpridos: a)
coletar o consentimento para cada �inalidade especí�ica; b) garantir informa-
ções claras e objetivas sobre o tratamento dos dados pessoais (possibilitando ao

LGPD NAS ESTATAIS | 26

titular a compreensão de como seus dados serão utilizados); c) coletar os dados
e/ou dados pessoais sensíveis estritamente necessários; d) a coleta do consen-
timento deve ser atrelada a mecanismos de armazenamento, possibilitando a
comprovação dessa ação, se necessário; e) não condicionar a coleta de consen-
timento ao “tudo ou nada” (por exemplo, determinar/habilitar a participação
do titular a determinada ação como “campanha promocional”, obrigando a con-
cordar com o regulamento da campanha, o compartilhamento dos seus dados
pessoais com os agentes de tratamento e respectivos patrocinadores dessa cam-
panha, independentemente do motivo e/ou �inalidade); f) permitir ao titular a
revogação do consentimento a qualquer momento, e o respectivo tratamento
deve ser interrompido imediatamente (disponibilizando canais para interação
com o titular e a manifestação dos seus desejos quanto ao tratamento dos seus
dados pessoais).

B) Para cumprimento de obrigação legal ou regulatória pelo controla-

dor – o tratamento dos dados pessoais é realizado para o cumprimento de lei
(federal, estadual ou municipal) ou por cumprimento das demais normas (de-
cretos, resoluções, entre outros). Exemplo: após o envio do arquivo Cadastro
Geral de Empregados e Desempregados (Caged) e ao Ministério do Trabalho, o
empregador deve reter e armazenar o documento por três anos, a partir da data
de envio – art. 1.o, § 2.o, da Portaria MTE n. 235/03 –, para �ins de comprovação
perante a �iscalização trabalhista. Nesse caso, não é necessário o consentimento
para o tratamento, por ser realizado em função de uma obrigação legal.

C) Pela administração pública, para o tratamento e o uso compartilha-

do de dados necessários à execução de políticas públicas previstas em leis

LGPD NAS ESTATAIS | 27

e regulamentos ou respaldadas em contratos, convênios ou instrumentos
congêneres (observadas as disposições do tratamento de dados pessoais
pelo poder público) – a administração pública poderá realizar o uso comparti-
lhado de dados pessoais, desde que a �inalidade seja estritamente a execução de
políticas públicas. Também devem ser consideradas as diretrizes de tratamento
previstas entre os artigos 23 a 32 a LGPD, destinados ao poder público.

D) Realização de estudos por órgãos de pesquisas, garantida, sempre

que possível, anonimização dos dados pessoais – a LGPD, no art. 5, inciso
XVIII, de�ine órgão de pesquisa como sendo o órgão ou a entidade de adminis-
tração pública direta ou indireta, ou pessoa jurídica de direito privado sem �ins
lucrativos, legalmente constituídos sob as leis brasileiras, com sede e foro no
país, que inclua, em sua missão institucional ou em seu objetivo social ou esta-
tutário, a pesquisa básica ou aplicada de caráter histórico, cientí�ico, tecnológico
ou estatístico. Sempre que possível o tratamento dos dados pessoais deve ser
anonimizado, ou seja, deve ser feito de forma a di�icultar a identi�icação do titu-
lar a agentes não autorizados.

E) Quando necessário para execução de contrato ou de procedimentos

preliminares relacionados a contrato do qual seja parte o titular, a pedido
do titular dos dados – a legitimidade do tratamento está atrelada ao cumpri-
mento de obrigações previstas em contrato ,ou seja, uma obrigação contratual,
de que faça parte o titular ou a pedido do titular.

F) Para o exercício regular de direitos em processo judicial, adminis-

trativo ou arbitral, esse último nos termos da Lei 9.307, de 23 de setembro

LGPD NAS ESTATAIS | 28

de 1.996 – essa base legitima o tratamento de dados para que a pessoa
possa exercer o seu direito de acesso à justiça sem precisar do consentimento
da outra pessoa ou para armazenamento dos dados pessoais para �ins de defesa
em processo judicial.

G) Proteção da vida ou da incolumidade �ísica do titular ou de terceiros

– o tratamento dos dados é legitimado por essa base legal em situações na qual
a vida ou a integridade �ísica do titular esteja em perigo iminente. Esse risco
deve ser concreto, o que signi�ica que, se os dados pessoais não forem tratados
naquele momento, o indivíduo tem o risco potencial de morrer. Exemplo: a equi-
pe de saúde pode acessar o prontuário médico de uma pessoa, caso esta sofra a
perda repentina de consciência.

H) Tutela da saúde, exclusivamente em procedimento realizado por

pro�issionais de saúde, serviços de saúde ou autoridade sanitária – nes-
sa base legal, o tratamento de dados pessoais é legitimado quando a �inalidade
é promover a saúde do indivíduo, protegê-lo de doenças e agravos, prevenir e
limitar danos a ele causados e reabilitá-lo quando a sua capacidade �ísica, psí-
quica ou social for afetada. O tratamento desses dados também será legitimado,
nesta hipótese de tratamento, quando a �inalidade for sustentar as atividades
do indivíduo. Em ambos os casos, o tratamento é restrito aos pro�issionais da
área da saúde e/ou às entidades sanitárias. Exemplos de pro�issionais da área
da saúde: médicos, farmacêuticos, enfermeiros, psicólogos, nutricionistas, entre
outros. Exemplos de entidades sanitárias: Anvisa, Fundação Oswaldo Cruz (Fio-
cruz), entre outros.

LGPD NAS ESTATAIS | 29

 I) Atendimento ao legítimo interesse do controlador ou de terceiros,
exceto no caso de prevalecerem os direitos e liberdades fundamentais do
titular que exijam a proteção dos dados pessoais – o tratamento poderá ser
embasado pelo legítimo interesse quando for atender aos interesses do contro-
lador ou de um terceiro para promoção de suas atividades econômicas, porém
não deverá violar os direitos e a liberdades fundamentais do titular. A LGPD in-
dica a realização do teste de legítimo interesse em todas as hipóteses em que o
tratamento for embasado nesta base legal (esse teste deve ser armazenado pelo
mesmo período do tratamento dos dados pessoais). Esse teste possui quatro
fases: a primeira fase implica questionar se o interesse é de fato legítimo, se
existe alguma vedação ou proibição, ou seja, a primeira ação é veri�icar a legi-
timidade do tratamento consultando legislações que possam restringir o tra-
tamento (exemplo: utilizar informações de um banco de dados pessoais, cuja
�inalidade já foi cumprida e o propósito atual não está em conformidade com a
�inalidade declarada ao titular no momento da sua coleta); a segunda fase trata
da necessidade, reiterando as diretrizes dos princípios da �inalidade, adequa-
ção e necessidade, para que apenas os dados pessoais estritamente necessários
sejam objeto de tratamento; a terceira fase averigua a legítima expectativa e o
balanceamento, ou seja, visa ao equilíbrio entre os interesses do controlador
e eventuais bene�ícios ao titular (respeitando seus direitos e liberdades), para
que o tratamento dos dados não cause “espanto” ao titular (exemplo: a intera-
ção entre o controlador e o titular por meio de e-mails marketing, consideran-
do que o próprio titular preencheu um cadastro disponibilizado pelo titular em
momento anterior); a quarta fase é de salvaguardas, ou seja, o controlador deve
garantir ao titular mecanismos para que ele possa manifestar seus desejos de
tratamento, em conformidade com as previsões da legislação).

LGPD NAS ESTATAIS | 30

 J) Proteção ao crédito, inclusive quanto ao disposto na legislação
pertinente – essa base legal autoriza o tratamento de dados pessoais quando
isso se der em em razão da proteção de concessão de crédito, ou seja, o motivo
pelo qual essas instruções propuseram essa base, visando à redução do risco de
inadimplência de pessoas �ísicas, quando essas requisitarem crédito.

4.1 TRATAMENTO DE DADOS PESSOAIS SENSÍVEIS

Antes de abordar as hipóteses que permitem o tratamento de dados pesso-

ais sensíveis, vale abordar o conceito descrito no artigo, 5.o, inciso II, da LGPD:

São considerados Dados Pessoais Sensíveis os dados pessoais sobre origem racial ou étnica, con-
vicção religiosa, opinião política, �iliação a sindicato ou a organizações de caráter religioso, �ilo-
só�ico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando
vinculado a uma pessoa natural.

Em linhas gerais os dados pessoais sensíveis, se tratados de forma inadequa-

da, podem gerar algum tipo de discriminação e ferir os direitos e as liberdades
dos seus titulares.
Dessa forma, a LGPD de�ine as previsões de tratamento, as quais estão dis-
postas no artigo 11. Ao avaliar as hipóteses, o responsável pelo tratamento en-
contrará certa semelhança entre as diretrizes de tratamento dos dados pessoais
e/ou tratamento de dados pessoais sensíveis, salvo a impossibilidade de tratar
esses dados justi�icada como execução de contrato, proteção ao crédito ou legíti-
mo interesse, permanecendo as demais possibilidades, com algumas restrições,
como apontadas a seguir.

LGPD NAS ESTATAIS | 31

4.1.1 Quando o titular ou seu responsável legal consentir, de forma
especí�ica e destacada, para �inalidades especí�icas

Assim como a coleta de consentimento no tratamento dos dados pessoais

(prevista no artigo 7.o da LGPD), a coleta de consentimento para o tratamento
de dados pessoais sensíveis deve ser realizada de forma livre, inequívoca, espe-
cí�ica e destacada.
Dessa forma o propósito de tratamento deve ser claramente especi�icado
pelo controlador, destacado, de forma que o titular tenha acesso a documentos
que esclareçam os fatos relevantes sobre a proposta.

4.1.2 Sem o fornecimento de consentimento do titular ou

responsável legal, em hipóteses que indispensáveis

Em regra, somente o consentimento deve validar a utilização dos dados para

diversos �ins. Entretanto, é possível que os dados sejam tratados sem o forneci-
mento de consentimento do titular ou responsável legal, nas hipóteses em que
essa medida for indispensável para:

a) cumprimento de obrigação legal ou regulatória pelo controlador, no mes-

mo formato previsto para legitimar o tratamento de dados pessoais;
b) tratamento compartilhado de dados necessários à execução, pela admi-
nistração pública, de políticas públicas previstas em leis ou regulamentos. Nesse
caso há diferença entre as previsões para o tratamento de dados pessoais e da-

LGPD NAS ESTATAIS | 32

dos pessoais sensíveis, pois a execução de contratos, convênios e instrumentos
congêneres não legitima o tratamento;
c) realização de estudos por órgãos de pesquisa, garantida, sempre que pos-
sível, a anonimização dos dados pessoais sensíveis. Não há diferenças entre as
previsões de tratamento dos dados pessoais e os dados pessoais sensíveis (arti-
go 7), mas vale destacar que a anonimização deve ser levada em consideração e
aplicada sempre que possível, a �im de reduzir os riscos;
d) exercício regular de direitos, inclusive em contrato e em processo judicial,
administrativo e arbitral, sendo este último nos termos da Lei n. 9.307/96 (Lei
da Arbitragem), seguindo as mesmas previsões para o tratamento de dados pes-
soais;
e) proteção da vida ou da incolumidade �ísica do titular ou de terceiros;
f) tutela à saúde, exclusivamente, em procedimento realizado por pro�issio-
nais de saúde, serviços de saúde ou autoridade sanitária;
f) garantia da prevenção à fraude e à segurança do titular, nos processos de
identi�icação de cadastro em sistemas eletrônicos, resguardados os direitos e
liberdades fundamentais do titular que exijam a proteção dos dados pessoais.
Os dados pessoais sensíveis podem ser tratados quando há �inalidade especí�ica
de prevenção à fraude e/ou segurança do titular, desde que o tratamento esteja
embarcado em sistemas.

4.2 DADOS DE CRIANÇAS E ADOLESCENTES

Convém esclarecer que, de acordo com a Lei n. 8.069/1990 – Estatuto da

Criança e do Adolescente (ECA) –, criança é a pessoa com até 12 anos incomple-
tos e adolescente é aquela entre 12 e 18 anos incompletos.

LGPD NAS ESTATAIS | 33

 O artigo 14 da LGPD determina que “O tratamento de dados pessoais de
crianças e adolescentes deverá ser realizado em seu melhor interesse, nos ter-
mos deste artigo e as legislações pertinentes”.
Para realizar o tratamento de dados pessoais de crianças deverão ser adota-
das medidas que permitam aos pais ou ao responsável legal acesso às informa-
ções sobre a proposta de tratamento.
Para formalizar o tratamento, deve ser disponibilizado a um dos pais ou res-
ponsável legal documentação com texto especí�ico e em destaque deve ser cole-
tado o consentimento.
Está livre da coleta de consentimento quando a �inalidade do tratamento for
contatar os pais ou o responsável legal, uma única vez e sem armazenamento.

LGPD NAS ESTATAIS | 34

 5
GOVERNANÇA NA LGPD

Um dos momentos mais relevantes do atual cenário da adequação à LGPD é

o que pode se chamar de “Dia 2 da LGPD”, ou seja, aquilo que deve ser feito para
cumprir o disposto em lei após a adequação em si. Pode-se ainda dizer que, para
o efetivo cumprimento da lei, conforme o artigo 50 da LGPD, faz-se necessário
permear o estudo da governança em si e, até mesmo, veri�icar se o projeto de
adequação é efetivo e, de fato, trouxe mais garantia aos direitos fundamentos
dos titulares, bem como se promove o saudável debate da relação entre privaci-
dade e proteção de dados.
Sendo assim, um programa de governança em privacidade deve atender a
alguns requisitos, mas, em especial, aos elencados no artigo 50 da própria LGPD.
Denominada “Das boas práticas e da governança”, a seção tem apenas dois arti-
gos, entre outros incisos, elencando algumas das recomendações que devem ser
seguidas pelas empresas durante a sua implementação da LGPD, contudo com
claros apontamentos de continuidade do projeto em momentos posteriores à
adequação em si – “Dia 2 da LGPD” ou “Início da fase de governança e monitora-
mento do projeto”.
O artigo 50 da LGPD traz as principais diretrizes que o legislador observou
no início da criação da cultura de privacidade e proteção de dados no Brasil:

a) demonstrar o comprometimento do controlador em adotar processos e

políticas internas que assegurem o cumprimento, de forma abrangente, de nor-
mas e boas práticas relativas à proteção de dados pessoais;

LGPD NAS ESTATAIS | 36

 b) estabelecer diretrizes e regras que possam ser aplicáveis a todo o con-
junto de dados pessoais que estejam sob seu controle, independentemente do
modo como se realizou sua coleta;
c) ser adaptado à estrutura, à escala e ao volume de suas operações, bem
como à sensibilidade dos dados tratados;
d) estabelecer políticas e salvaguardas adequadas com base em processo de
avaliação sistemática de impactos e riscos à privacidade;
e) ser um instrumento que inspira relação de con�iança com o titular, por
meio de atuação transparente e que assegure mecanismos de participação do
titular;
f) estar integrado a sua estrutura geral de governança e estabelecer e aplicar
mecanismos de supervisão internos e externos;
g) contar com planos de resposta a incidentes e remediação;
h) ser atualizado constantemente com base em informações obtidas a partir
de monitoramento contínuo e avaliações periódicas.

A �im de obter os primeiros passos para a criação de um Projeto de Gover-

nança de Dados Pessoais ou a Governança em Privacidade, é fundamental per-
correr os artigos anteriores da Lei Geral de Proteção de Dados, que descrevem o
trajeto a ser seguido pelas organizações (públicas ou privadas) para entender o
�luxo de dados pessoais existentes.
Como fase inicial do projeto de adequação à Lei Geral de Proteção de Dados
temos o diagnóstico preliminar ou mapeamento de dados, a execução e o moni-
toramento, conforme se verá adiante.

LGPD NAS ESTATAIS | 37

5.1 FASE DE DIAGNÓSTICO OU MAPEAMENTO DE DADOS

Assim, no início do projeto de adequação à LGPD, deve ser identi�icado, por

meio de entrevistas e/ou formulários, o �luxo de vida útil do dado pessoal com
o objetivo de responder aos itens anteriores. Nesse momento, é essencial com-
preender também a quais leis, regulações e regras está sujeita cada organização,
pois foi determinado pelo legislador identi�icar �inalidades claras e justi�icativas
coerentes para a utilização de cada um dos dados pessoais coletados/tratados.
O artigo 37 da Lei Geral de Proteção de Dados determina que “o controlador
e o operador devem manter registro de operações de tratamento de dados pes-
soais que realizarem”. Além disso, visa subsidiar a elaboração do relatório de
impacto de proteção de dados pessoais (RIPD) e outras ações necessárias, como
a identi�icação de lacunas frente às exigências da LGPD ou de outras normas. O
objetivo é realizar o levantamento das ações que o órgão desenvolve com dados
pessoais, delimitando-se o escopo das operações de tratamento de dados pesso-
ais, abrangendo, no mínimo: a identi�icação dos agentes de tratamento; as fases
do ciclo de vida do tratamento; a descrição do �luxo do tratamento; a hipótese
legal de tratamento; a �inalidade e previsão legal do tratamento; quais dados são
tratados; a categoria dos titulares; as informações sobre compartilhamento; a
classi�icação das medidas de segurança; as informações sobre transferência in-
ternacional; as informações sobre contratos, termos ou congêneres que estejam
correlatos com o tratamento.
Ao �inal, as organizações deverão ter obtido os registros das operações de
tratamento de dados pessoais considerando cada processo existente na organi-
zação. Importante destacar que, a partir do princípio da governança, bem como
da necessidade de atualização frequente dos registros, é importante sempre

LGPD NAS ESTATAIS | 38

manter tais registros atualizados e, por isso, deve-se estabelecer um ciclo de
periodicidade para revisão.

5.2 FASE DE EXECUÇÃO

Como próxima etapa do processo de adequação à LGPD das organizações,

devemos passar a implementar as mudanças necessárias e diagnosticadas no
momento inicial do projeto. Ou seja, considerando os dados obtidos no mape-
amento dos processos e �luxo de dados pessoais, são identi�icados os gaps a
serem implementados. A construção das medidas de adequação é iniciada no
mapeamento, mas a partir dos gaps mapeados a fase de execução passa a ser
obrigatória. Salvo contrário, o mapeamento resta infrutífero.
Por conseguinte, a fase de execução é, de fato, a fase em que se executa e se
criam as documentações com o objetivo de cumprir a lei e trazer claridade aos
tratamentos de dados pessoais ao titular do dado e, até mesmo, às autoridades
responsáveis por seus controles.
Alguns outros documentos que serão identi�icados como mandatórios du-
rante a fase de mapeamento são:

a) políticas e práticas para proteção da privacidade;

b) cultura de segurança e proteção de dados e privacy by design;
c) relatório de impacto à proteção de dados pessoais (RIPD);
d) adequação de cláusulas contratuais;
e) identi�icação de riscos por atividade de tratamento de dados pessoais;
f) identi�icação de dados pessoais sensíveis.

LGPD NAS ESTATAIS | 39

 Logo, à fase de execução resta o objetivo de trazer documentação concreta ao
processo de adequação à LGPD, trazido pela Lei n. 13.709/2018. A necessidade
de realizar procedimentos de melhorias se dá pela nova regulamentação criada,
mas melhora substancialmente a governança e sucessão de processos nas or-
ganizações. Os processos que a cultura de privacidade e, por certo, a cultura da
governança desejam criar a �im de desenvolver procedimentos de melhorias a
curto, médio e longo prazo (este como foco principal), são mais bem compreen-
didos quando concretos, quando existentes.
A ideia de manutenção das execuções propostas pelo mapeamento será
compreendida na etapa posterior ao projeto, todavia a concretização dos proce-
dimentos e processos que anteriormente não estavam desenhados e implemen-
tados só é possível quando a fase de execução é completamente �inalizada.

5.3 ETAPA DE MONITORAMENTO

A última etapa do projeto de adequação à LGPD é a de monitoramento, que

inclui: os indicadores de performance, a gestão de incidentes, a análise de resul-
tados e o reporte de resultados. No entanto, essa fase só deverá ser iniciada se
concluídas as fases anteriores, principalmente a fase de execução.
Nesse sentido, a terceira etapa do projeto determina que metas e indicado-
res de performance e desempenho das execuções realizadas na fase anterior
tenham sido criados, tendo em vista a recomendação de comparação entre re-
sultados desejados e resultados coletados no primeiro ciclo de indicadores.
Como já elucidado, a análise e o reporte dos resultados obtidos precisa ser
constante para veri�icar a e�icácia ou a necessidade de melhorias e adaptações
no processo.

LGPD NAS ESTATAIS | 40

 Cumpre mencionar que, após realizadas as três etapas determinadas em lei
e integrantes do projeto de adequação à LGPD, uma das premissas maiores da
perspectiva do legislador na criação da lei em si foi a inclusão da legítima expec-
tativa dos titulares de dados pessoais.
Por exemplo: se o dado pessoal foi coletado com a �inalidade de realizar
cadastro de consumidor em uma farmácia, destacando-se o cumprimento dos
princípios da �inalidade e transparência, e o aceite ou outra base legal foi cum-
prida e identi�icada no mapeamento dos processos, esse mesmo dado pessoal
não deveria ser utilizado para cadastro em um outro comércio com produto não
anteriormente citato, mesmo que do mesmo grupo econômico.
Denota-se, portanto, que a irregularidade a ser evitada, contida na ideia prin-
cipal do legislador na criação da LGPD, não é o uso do dado pessoal sem �inali-
dade anteriormente prevista, mas sim o uso para �inalidades que não remetem
à legítima expectativa que o titular de dados pessoais tinha ao fornecer aquele
dado pessoal – no exemplo, para um cadastro em uma farmácia.

5.4 GOVERNANÇA COMO PROCESSO: O PASSO SEGUINTE AO

MONITORAMENTO

Em seu sentido mais abstrato, a governança é um conceito teórico que se

refere a ações e processos que de�inem como as organizações são dirigidas e
controladas. Assim, a governança como um processo deve ser observada e deli-
neada no sentido de preservação das estruturas independente das pessoas que
ocupam os cargos e postos. A preservação se dá pela manutenção �idedigna da
estratégia adotada pelas organizações e empresas, e que não deve ser alterada

LGPD NAS ESTATAIS | 41

ou substituída salvo em acordo da liderança de novos controles a serem imple-
mentados.
Ainda, também em seu sentido abstrato, a de�inição de processo se dá
como “conjunto de atividades inter-relacionadas ou interativas que usam ou
transformam entradas para entregar um resultado”. Pode-se inferir a partir disso
que a estrutura organizacional da governança decorre das estratégias, políticas
de governança, estruturas para tomadas de decisões e responsabilização através
das quais funcionam arranjos de governança das organizações. Não obstante,
requer-se de�inir a importância da responsabilidade de cada departamento,
órgão, pessoa, entidade e terceiros para o cumprimento das responsabilidades
ali determinadas – accountability.
Ou seja, a governança, quando implantada, deve também observar a sua ma-
nutenção dentro das estruturas. A governança tem por alcance o longo prazo,
e não somente os curto e médio prazos. As metas são calculadas nos três mo-
mentos, mas com foco no longo prazo – criando o processo correto para obter o
resultado desejado.
Logo, a estruturação da governança como um processo tem por objetivo:

a) re�letir a identidade, missão ou propósito da organização em relação à

sociedade e suas partes interessadas;
b) aumentar a e�icácia organizacional, sustentabilidade, responsabilidade e
equidade;
c) cumprir o propósito da organização;
d) evitar grandes incidentes.

LGPD NAS ESTATAIS | 42

 Contudo, a organização que desenhar suas atividades com base na gover-
nança não pode acreditar que somente isso é necessário. A revisão dos controles
implementados junto aos resultados obtidos sempre deve ser feita a partir de
metas (números programados e desejáveis) e, quando necessário, deve-se re-
alizar ajustes aos pontos “fora da curva”. O ciclo PDCA, conforme demonstrado
acima, é a forma recomendada de trazer perspectivas hialinas e objetivas para
os alvos desenhados anteriormente.
Em breve retrospecto, a governança deve re�lexionar sobre quais os resulta-
dos a organização quer atingir, aumentando a e�icácia no sentido de organizar as
estruturas e, principalmente, os processos internos e externos. Naturalmente,
ao revisar os pontos anteriormente previstos, os processos atualizam-se, deven-
do buscar a melhoria constante, mesmo na ausência das pessoas ou terceiros
que participaram das criações dos processos.
Nesse diapasão, nota-se, portanto, que as pessoas são os meios pelos quais
os processos decorrem, entretanto não podem ser maiores do que os processos
em si. A busca do equilíbrio entre resultado, e�icácia e governança também é
observada no artigo da LGPD e, consequentemente, na implementação do pro-
grama de governança de dados pessoais recomendada.
Sendo assim, no caso da proteção de dados, deve-se observar o titular no
centro da discussão. A partir dos modelos elucidados, denota-se uma impor-
tante determinação de quem é o foco dos processos a se obter a chamada de
governança. No projeto de adequação à LGPD, o titular de dados pessoais, seja
um hóspede de um hotel, seja mesmo um paciente de um hospital, deve ser res-
peitado como objeto a ser colocado no foco da governança.
Logo, a criação da denominação da expressão governança em privacidade
decorre da necessidade da criação do próximo estágio da adequação à LGPD.

LGPD NAS ESTATAIS | 43

 Observando de modo prático, após concluído o “Dia 1 da LGPD”, que consiste
em identi�icar os dados pessoais, mapear os �luxos internos das organizações,
realizar as mudanças identi�icadas e mitigar os riscos apresentados, conforme
trazido anteriormente, faz-se necessário retomar o projeto da criação da estru-
tura da governança, dessa vez em privacidade e proteção dos dados pessoais.

5.5 ESSE É UM ASSUNTO NOVO PARA AS ESTATAIS?

Conceitos que vimos até agora sobre a LGPD nos remetem, certamente, a
uma mudança cultural que não deve surpreender as estatais, considerando que
as empresas públicas e sociedades de economia mista vêm passando, desde
2016, por mudanças em suas estruturas e processos, com o advento da Lei n.
13.303/2016, também conhecida como Lei de Responsabilidade das Estatais
(LRE). A principal similitude está na necessidade de criar e manter uma estru-
tura de governança, que é comum a essas duas normas legais.
A RLE, em vários artigos, prevê a criação de cargos e funções a serem preen-
chidos nas estatais, inclusive determinando o papel de cada um, de�inindo, no
artigo 9.o, incisos II e III, áreas a serem instituídas nas organizações, quais sejam:
área responsável pela veri�icação de cumprimento de obrigações e de gestão de
riscos; auditoria interna e Comitê de Auditoria Estatutário. Assim também o fez
a LGPD, quando nos trouxe uma estrutura de governança que apresenta algumas
�iguras de�inidas que vamos apresentar aqui. Na imagem abaixo, temos uma es-
trutura grá�ica que ilustra melhor os principais envolvidos nesta legislação.
A seguir, descrevemos melhor cada um destes elementos:

LGPD NAS ESTATAIS | 44

 • titular dos dados – é a pessoa natural a quem se referem os dados pesso-
ais que são objeto de tratamento nos processos da organização e que, de alguma
forma, estão relacionadas com as atividades legítimas;
• controlador – no âmbito interno, o controlador é o representante legal da
organização, normalmente o presidente (CEO), que é o responsável por ela, que
por meio dos seus poderes e atribuições delega as ações necessárias para ope-
racionalizar a Política da Proteção de Dados Pessoais e Privacidade dentro da
estrutura. Para o ambiente externo, o controlador é a própria organização, que
exigirá das pessoas �ísicas e das pessoas jurídicas de Direito Público ou Privado
com quem se relaciona, o cumprimento dessa política quando aquelas estive-
rem tratando dados pessoais originários da organização;

LGPD NAS ESTATAIS | 45

 • encarregado de dados – pessoa natural, indicada pelo controlador, cujas
atribuições estão de�inidas nos incisos do parágrafo 2.o do art. 41 da LGPD, que
são: i) aceitar reclamações e comunicações dos titulares, prestar esclarecimen-
tos e adotar providências; ii) receber comunicações da autoridade nacional e
adotar providências; iii) orientar os funcionários e os contratados da entidade a
respeito das práticas a serem tomadas em relação à proteção de dados pessoais;
iv) executar as demais atribuições determinadas pelo controlador ou estabe-
lecidas em normas complementares. Todas as estatais precisarão de um DPO,
porém este pode ser terceirizado, o que reduz custos e garante a independência
e o conhecimento necessários a sua atuação;
• operadores internos – são todos os colaboradores que, na execução das
atividades relativas aos processos da organização, têm contato e tratam dados
de pessoas naturais;
• operadores externos – são as organizações que compõe o ecossistema da
proteção de dados da organização que, para cumprirem legislações e atividades
especí�icas relacionadas com as �inalidades, tratam dados dos titulares a ela vin-
culados. Por exemplo, um escritório que preste serviços jurídicos ou contábeis
para a organização e acessa dados pessoais controlados por ela, é considerado
um operador externo;
• Autoridade Nacional de Proteção de Dados (ANPD) – órgão da adminis-
tração pública que é responsável por zelar, implementar e �iscalizar o cumpri-
mento da LGPD.

Essas semelhança entre as leis vai muito além da mera criação de estruturas
e funções, tangendo também os processos. Por exemplo, a LGPD é inteiramente

LGPD NAS ESTATAIS | 46

baseada em riscos, mencionando esse termo várias vezes ao longo da lei, como
nos seguintes dispositivos:

Art. 38 [...] Parágrafo único: Observado o disposto no caput deste artigo, o relató-
rio deverá conter, no mínimo, a descrição dos tipos de dados coletados, a meto-
dologia utilizada para a coleta e para a garantia da segurança das informações e
a análise do controlador com relação a medidas, salvaguardas e mecanismos de
mitigação de risco adotados.

Art. 44 O tratamento de dados pessoais será irregular quando deixar de observar

a legislação ou quando não fornecer a segurança que o titular dele pode esperar,
consideradas as circunstâncias relevantes, entre as quais: [...] II - o resultado e os
riscos que razoavelmente dele se esperam.

Art. 48 O controlador deverá comunicar à autoridade nacional e ao titular a ocor-

rência de incidente de segurança que possa acarretar risco ou dano relevante aos
titulares. [...] §1o - A comunicação será feita em prazo razoável, conforme de�inido
pela autoridade nacional, e deverá mencionar, no mínimo: [...] IV - os riscos rela-
cionados ao incidente.

Assim o faz também a LRE, que aborda a gestão de riscos em vários pontos,
conforme podemos observar a seguir:

Art. 1o [...] § 7 o – na participação em sociedade empresarial em que a empresa pú-

blica, a sociedade de economia mista e suas subsidiárias não detenham o controle
acionário, essas deverão adotar, no dever de �iscalizar, práticas de governança e
controle proporcionais à relevância, à materialidade e aos riscos do negócio do
qual são partícipes, considerando, para esse �im: [...] vi – relatório de risco das
contratações para execução de obras, fornecimento de bens e prestação de servi-
ços relevantes para os interesses da investidora; [...] ix - avaliação das necessida-
des de novos aportes na sociedade e dos possíveis riscos de redução da rentabili-
dade esperada do negócio; [...].

LGPD NAS ESTATAIS | 47

Art. 6o o estatuto da empresa pública, da sociedade de economia mista e de suas
subsidiárias deverá observar regras de governança corporativa, de transparência
e de estruturas, práticas de gestão de riscos e de controle interno, composição da
administração e, havendo acionistas, mecanismos para sua proteção, todos cons-
tantes desta lei.

Art. 8o [...] III – divulgação tempestiva e atualizada de informações relevantes, em

especial as relativas a atividades desenvolvidas, estrutura de controle, fatores de
risco, dados econômico-�inanceiros, comentários dos administradores sobre o de-
sempenho, políticas e práticas de governança corporativa e descrição da composi-
ção e da remuneração da administração.

Art. 9o A empresa pública e a sociedade de economia mista adotarão regras de

estruturas e práticas de gestão de riscos e controle interno que abranjam: [...] II
- área responsável pela veri�icação de cumprimento de obrigações e de gestão de
riscos.

Art. 18 Sem prejuízo das competências previstas no art. 142 da Lei nº 6.404, de
15 de dezembro de 1976 , e das demais atribuições previstas nesta Lei, compete
ao Conselho de Administração: [...] implementar e supervisionar os sistemas de
gestão de riscos e de controle interno estabelecidos para a prevenção e mitiga-
ção dos principais riscos a que está exposta a empresa pública ou a sociedade de
economia mista, inclusive os riscos relacionados à integridade das informações
contábeis e �inanceiras e os relacionados à ocorrência de corrupção e fraude.

Art. 23 É condição para investidura em cargo de diretoria da empresa pública e

da sociedade de economia mista a assunção de compromisso com metas e resul-
tados especí�icos a serem alcançados, que deverá ser aprovado pelo Conselho de
Administração, a quem incumbe �iscalizar seu cumprimento. [...] II - estratégia de
longo prazo atualizada com análise de riscos e oportunidades para, no mínimo, os
próximos 5 (cinco) anos.

Art. 24 A empresa pública e a sociedade de economia mista deverão possuir em

sua estrutura societária Comitê de Auditoria Estatutário como órgão auxiliar do
Conselho de Administração, ao qual se reportará diretamente. [...] V - avaliar e
monitorar exposições de risco da empresa pública ou da sociedade de economia
mista [...].

LGPD NAS ESTATAIS | 48

 Aqui mencionamos alguns aspectos que abordam as questões de riscos nas
duas normas legais, mormente para demonstrar que esse assunto trazido pela
LGPD não é novidade para as estatais, o que facilita a adequação, uma vez que os
fundamentos de gestão de riscos estão claramente no dia a dia das organizações
que estão no alcance da LRE. Dessa forma, sugere-se que se aplique, às questões
da LGPD, a mesma metodologia de gestão de riscos aplicada para atender à Lei
n. 13.303/16.
Importante gizar que a LGPD necessita de uma ação multidisciplinar que
envolve diversas áreas das organizações, principalmente a TI, o jurídico e a go-
vernança, contando com atuação de todas as pessoas envolvidas no tratamento
de dados, mas, mesmo dentro dessa interdisciplinaridade, o foco principal con-
tinuará sendo o risco.
Se considerarmos que o risco é o efeito da incerteza nos objetivos, conforme
conceitua a ISO 31000, podemos ver claramente que a LGPD tem como objetivo
proteger os dados pessoais das pessoas naturais. Dessa forma, temos que iden-
ti�icar os riscos que prejudicam o atingimento dos objetivos, analisar, avaliar e
tratar esses riscos. Nesse tratamento temos os controles internos, os quais irão
tentar evitar tais riscos e/ou reduzir o impacto em caso de materialização. Aí
sim entram, com maior atuação, as equipes multidisciplinares, como o jurídico,
auxiliando na criação de disclaimers e revisão de contratos e termos; a TI, imple-
mentando controles técnicos; a área de treinamentos, elaborando os planos de
treinamentos necessários à preparação dos envolvidos para que possam estar
preparados para lidar com o tratamento de dados etc.
Ainda falando em riscos, o não atendimento à LGPD também traz riscos às
organizações, em várias perspectivas, sendo elas �inanceira, imagem, operacio-
nal e legal. Os impactos que podem ocorrer quando a organização não está em

LGPD NAS ESTATAIS | 49

conformidade com esta lei devem ser divididos em duas instâncias, a judicial e
a administrativa. Na judicial, os titulares de dados, desde o início da vigência da
lei, já podem judicializar as situações de descumprimento, sendo que já temos
pequenas, médias e grandes empresas condenadas. A indústria das ações inde-
nizatórias com base na LGPD já iniciou e devemos estar atentos a isso.
Quanto à esfera administrativa, esta se iniciou em 1.o de agosto de 2021, em
função da Lei n. 14.010/2020, que dispõe sobre o Regime Jurídico Emergen-
cial e Transitório das relações jurídicas de Direito Privado (RJET) no período da
pandemia do coronavírus (Covid-19). Essa lei determinou, em seu artigo 20, que
os artigos 52, 53 e 54 da Lei n. 13709/2018 passariam a valer a partir do dia 1.o
de agosto de 2021.
A ANPD, conforme já falamos, é o grau hierárquico máximo da Lei Geral de
Proteção de Dados. A ANPD é responsável por �iscalizar o tratamento de dados
em todo o território nacional e aplicar as correções e sanções pertinentes, caso
a lei seja desobedecida. São várias as penalidades que podem ser aplicadas pela
ANPD. Discriminadas no artigo 52 da LGPD, elas variam entre aplicação de ad-
vertências, com indicação de prazo para adoção de medidas corretivas, multas
ou até mesmo a proibição total ou parcial de atividades relacionadas ao trata-
mento de dados. As multas, por sua vez, vão de 2% do faturamento da empresa
no último exercício com teto máximo de R$ 50.000.000,00 por infração, existin-
do, ainda, a possibilidade de incidência de multa diária para compelir a entidade
a cessar as violações. De toda forma, a aplicação de qualquer dessas penalidades
pode ter impacto bastante negativo sobre a atividade empresarial, não somente
no aspecto �inanceiro, mas também no reputacional e operacional.
Para a correta mensuração e aplicação das sanções, a ANPD deverá conside-
rar os seguintes parâmetros:

LGPD NAS ESTATAIS | 50

 Importante atentarmos que a lei prevê uma responsabilidade solidária entre
o controlador e o operador, descrita no artigo 42 da LGPD. Sendo assim, temos
que ter um rigoroso acompanhamento dos fornecedores e parceiros com quem
a estatal se relaciona, pois se esses não estiverem adequados e os contratos não
tiverem cláusulas de proteção e privacidade de dados, qualquer incidente com
dados pessoais atingirá a estatal, que responderá solidariamente.
Cumpre reforçar que tais sanções administrativas aplicadas pela Autoridade
Nacional de Proteção de Dados não excluem as penalidades civis decorrentes
do não tratamento correto dos dados, como os previstos na Lei de Improbidade
Administrativa – LIA (Lei n. 8.429/1992) – ou na Lei de Acesso à Informação –
LAI (Lei n. 12.527/2011).
A LAI, por exemplo, em seu artigo 34, já de�ine que os “órgãos e entidades
públicas respondem diretamente pelos danos causados em decorrência da di-
vulgação não autorizada ou utilização indevida de informações sigilosas ou

LGPD NAS ESTATAIS | 51

informações pessoais”. A LIA de�ine como ato de improbidade atentatório aos
princípios da administração pública qualquer ação ou omissão que viole o prin-
cípio da legalidade, por exemplo. Ou seja, não cumprir uma determinação legal
pode constituir ato de improbidade administrativa e, como tal, sujeita as seguin-
tes sanções:

[...] ressarcimento integral do dano, se houver, perda da função pública, suspensão

dos direitos políticos de três a cinco anos, pagamento de multa civil de até cem
vezes o valor da remuneração percebida pelo agente e proibição de contratar com
o Poder Público ou receber bene�ícios ou incentivos �iscais ou creditícios, direta
ou indiretamente, ainda que por intermédio de pessoa jurídica da qual seja sócio
majoritário, pelo prazo de três anos (BRASIL, 1992).

O próprio Conselho Nacional de Justiça, através da Recomendação n. 89 de

fevereiro de 2021, recomendou “aos órgãos do Poder Judiciário brasileiro a ado-
ção de medidas preparatórias e ações iniciais para adequação às disposições
contidas na Lei Geral de Proteção de Dados – LGPD.”
Além do mau ou não tratamento adequado dos dados dos cidadãos, existe,
ainda, a possibilidade de condenação em razão da falta de investimentos em
cibersegurança. Isso porque o artigo 44 da LGPD expressamente menciona que
o tratamento é considerado irregular quando deixa de observar a legislação ou
quando não fornece a segurança que o titular dele pode esperar. E não tem sido
incomum a ocorrência de ciberataques a diversos sítios de órgãos públicos.
Dessa forma, se por um lado as estatais estão um passo à frente das demais
empresas, considerando que já possuem, por força legal, a estrutura e meto-
dologia de gestão de riscos, por outro lado, o não atendimento dos requisitos
impostos pela LGPD traz riscos ainda maiores, podendo inclusive incorrer no
crime de improbidade administrativa.

LGPD NAS ESTATAIS | 52

 REFERÊNCIAS

BRASIL. Lei n. 12.527, de 18 de novembro de 2011.Regula o acesso a infor-

mações previsto no inciso XXXIII do art. 5º , no inciso II do § 3º do art. 37 e
no § 2º do art. 216 da Constituição Federal; altera a Lei nº 8.112, de 11 de
dezembro de 1990; revoga a Lei nº 11.111, de 5 de maio de 2005, e dispositi-
vos da Lei nº 8.159, de 8 de janeiro de 1991; e dá outras providências. Dispo-
nível em: https://www.planalto.gov.br/ccivil_03/_ato2011-2014/2011/lei/
l12527.htm. Acesso em: 25 mar. 2023.
BRASIL. Lei n. 13.303, de 30 de junho de 2016. Dispõe sobre o estatuto jurí-
dico da empresa pública, da sociedade de economia mista e de suas subsidi-
árias, no âmbito da União, dos Estados, do Distrito Federal e dos Municípios.
Disponível em: https://www.planalto.gov.br/ccivil_03/_ato2015-
2018/2016/lei/l13303.htm. Acesso em: 25 mar. 2023
BRASIL. Lei n. 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de
Dados Pessoais (LGPD). Disponível em: https://www.planalto.gov.br/cci-
vil_03/_ato2015-2018/2018/lei/l13709.htm. Acesso em: 25 mar. 2023.
BRASIL. Lei n. 8.069, de 13 de julho de 1990. Dispõe sobre o Estatuto da
Criança e do Adolescente e dá outras providências. Disponível em: https://
www.planalto.gov.br/ccivil_03/leis/l8069.htm. Acesso em: 25 mar. 2023.
BRASIL. Lei n. 8.429, de 2 de junho de 1992. Dispõe sobre as sanções apli-
cáveis em virtude da prática de atos de improbidade administrativa, de que
trata o § 4º do art. 37 da Constituição Federal; e dá outras providências. Dis-

LGPD NAS ESTATAIS | 54

 ponível em: https://www.planalto.gov.br/ccivil_03/leis/l8429.htm. Acesso
em: 25 mar. 2023.
DONEDA, Danilo. Da privacidade à proteção de Dados. São Paulo: Renovar,
2006.
MALDONADO, Viviane Nóbrega; OPICE BLUM, Renato (coodr.) Lei Geral de
Proteção de Dados Pessoais comentada. São Paulo: Revista dos Tribunais,
2019.
OLIVEIRA, Ricardo; COTS, Márcio (Coord.) Lei Geral de Proteção de Dados
Pessoais comentada. São Paulo: Revista dos Tribunais, 2018.
OLIVEIRA, Ricardo; COTS, Márcio (coord.) O Legítimo Interesse e a LGPDP.
São Paulo: Revista dos Tribunais, 2019.

LGPD NAS ESTATAIS | 55

 LGPD NAS ESTATAIS surge com a proposta de suscitar a
reflexão sobre a necessária aplicação das normatizações
trazidas pela Lei Geral de Proteção de Dados às empresas
públicas e sociedades de economia mista, as quais
possuem estruturas e processos bastante peculiares,
regulados e complexos.
Escrito em linguagem direta e acessível, seu texto
esclarece sobre as principais definições da lei, os princípios
norteadores e as hipóteses de tratamento de dados, bem
como sobre o manejo da governança na implementação e
no acompanhamento das diretrizes encerradas na LGPD.
Ainda, relaciona a aplicação da LGPD à adequação à Lei das
Estatais, facilitando o entendimento e o aproveitamento
de processos e metodologias já implementadas.
Destina-se, assim, aos gestores públicos da
administração indireta, com especial aproveitamento para
estatais e sociedades de economia mista, que lidam mais
diretamente com dados de seus usuários e que precisam
se adequar à LGPD.