MONOGRAFIA - Bruno Campos

UNIVERSIDADE FEDERAL DE MINAS GERAIS
FACULDADE DE DIREITO
Bruno Braga Araújo Campos
TRATAMENTO E PROTEÇÃO DE DADOS PESSOAIS: um estudo de direito

comparado entre a legislação brasileira e o ordenamento europeu sobre o incidente de
segurança
BELO HORIZONTE
2022
2
Bruno Braga Araújo Campos
TRATAMENTO E PROTEÇÃO DE DADOS PESSOAIS: um estudo de direito

comparado entre a legislação brasileira e o ordenamento europeu sobre o incidente de
segurança
Projeto apresentado pelo graduando Bruno

Braga Araújo Campos à Faculdade de Direito
da Universidade Federal de Minas Gerais
como requisito parcial para a conclusão do
curso de Bacharelado em Direito
Área de Concentração: Direito Societário e

Proteção de Dados.
Orientadores: Doutor Leonardo Netto

Parentoni e Mestre José Luiz de Moura
Faleiros Júnior.
BELO HORIZONTE
2022
3
RESUMO
A evolução da economia de dados, ou big data, evidenciou a necessidade de haver uma

legislação específica que trate da proteção às informações dos titulares. Esse movimento foi
amplamente discutido no continente europeu, que foi pioneiro na criação de normas
específicas para a proteção de dados, servindo de inspiração para diversas legislações. No que
tange ao Brasil, antes da edição de uma norma geral de proteção de dados, já havia uma série
de dispositivos que tratavam sobre o tema, inseridos em legislações específicas, como o
Código de Defesa do Consumidor. A presente monografia analisa o instituto do incidente de
segurança, apresentando uma visão comparada do direito brasileiro frente ao ordenamento
europeu. Para compreensão do tema, são apresentadas considerações acerca da importância
dos dados e o seu papel na evolução das tecnologias. Em seguida, é realizada a
contextualização da evolução do tratamento e economia baseada em dados, que hoje são
responsáveis pelo modelo de negócios das maiores empresas do mundo. São ainda, abordados
os conceitos de segurança da informação e de incidente de segurança. Por fim, são analisados
os dispositivos da Lei Geral de Proteção de Dados que tratam sobre os incidentes de
segurança, sendo efetivada a comparação com o regulamento europeu.
Palavras-chave: Dados. Lei Geral de Proteção de Dados. Incidente de Segurança.

Vazamento.
4
ABSTRACT
The evolution of big data economy revealed the need of regulation of the market, to protect
the personal data of the users. The begging of this discussion happened in Europe, that was
the first continent to create a legislation to protect personal data, leading the way to other
nations. In Brasil`s case, before the creation of a general law about data protection, other
specifics laws about other themes had some articles that include data protection, like the
Código de Defesa do Consumidor. This monograph analyses the data breach, presenting a
comparation between the brazilian law and the european. To comprehend the theme, are made
some considerations about the importance of data to the improve of technology. After that, it
is presented a brief history about the evolution of big data economy, that is the busyness
model of the biggest companies in the world. In addition, the concepts of information security
and data breach are explored. Finally, the brazilian law, Lei Geral de Proteção de Dados, and
the european, General Data Protection Regulation, are compared to show to expose the
similarities and differences about the data breach.
Palavras-chave: Data. Lei Geral de Proteção de Dados. Data Breach. General Data Protection
Regulation.
5
LISTA DE SIGLAS
ABNT Associação Brasileira de Normas Técnicas

ADI Ação Direita de Inconstitucionalidade
ADPF Arguição de Descumprimento de Preceito Fundamental
ANPD Autoridade Nacional de Proteção de Dados
CCPA California Consumer Privacy Act of 2018
CDC Código de Defesa do Consumidor
EDPB Comité Europeu para a Proteção de Dados
GDPR Regulamento Geral sobre a Proteção de Dados
GT29 Grupo de Trabalho do Artigo 29 para a Proteção de
Dados
IEC International Electrotechnical Commission
ISO International Organization for Standardization
LGPD Lei Geral de Proteção de Dados
MI Marco Civil da Internet
SI Segurança da Informação
SC Segurança Cibernética
UE União Europeia
6
SUMÁRIO
1. INTRODUÇÃO ................................................................................................................. 7
2. A IMPORTÂNCIA DOS DADOS ................................................................................... 8
3. A NECESSIDADE DA REGULAÇÃO DE PROTEÇÃO DE DADOS ..................... 12
4. HISTÓRICO DA CRIAÇÃO DO REGULAMENTO EUROPEU ............................ 16
5. HISTÓRICO DA PROTEÇÃO DE DADOS NO BRASIL ......................................... 21
6. SEGURANÇA DA INFORMAÇÃO ............................................................................. 25
7. CONCEITO DE INCIDENTE DE SEGURANÇA ...................................................... 31
8. DISPOSIÇÕES ACERCA DO INCIDENTE DE SEGURANÇA NA LGPD ........... 36
8.1 Artigo 46 da LGPD .................................................................................................. 36
8.2 Artigo 47 da LGPD .................................................................................................. 39
8.3 Artigo 48 da LGPD .................................................................................................. 42
8.4 Artigo 49 da LGPD .................................................................................................. 46
9. CONCLUSÃO ................................................................................................................. 47
REFERÊNCIAS ..................................................................................................................... 49
7
1. INTRODUÇÃO
O objetivo deste estudo é promover uma análise do instituto do incidente de

segurança, analisando a Lei Geral de Proteção de Dados à luz do Regulamento Geral sobre a
Proteção de Dados Europeu, objetivando identificar as diferenças e similitudes entre as
legislações brasileira e europeia.
Justifica-se a escolha do tema pela relevância mundial da proteção de dados pessoais,
o desafio das legislações dos países em tutelar tecnologias que evoluem de maneira acelerada,
a ocorrência frequente de incidente de segurança e o fato de que a legislação brasileira se
baseou no ordenamento jurídico europeu, assim como: em função do contexto de expansão da
economia digital que se baseia, também, na comercialização de dados pessoais
Analisando o contexto mundial, é inegável que o pacote de medida sobre a proteção de
dados europeu, adotado em maio de 2016, é uma referência, tendo em vista que a União
Europeia foi pioneira na percepção da necessidade de regular o tratamento de dados1. Assim,
o Regulamento Geral sobre a Proteção de Dados Europeu serviu de inspiração para criação da
legislação em diversos países, incluindo os Estados Unidos da América, local onde estão
sediadas a maioria das grandes empresas de tecnologia que se beneficiam da economia de
dados.
No Brasil, constata-se que a legislação europeia foi base para redação da Lei Geral de
Proteção de Dados Pessoais, uma vez que diversos institutos foram copiados, ou inspirados,
na legislação europeia. Assim, para chegar a um nível avançado de compreensão da legislação
brasileira, é relevante analisar os estudos estrangeiros que deram origem as normas2.
O objetivo geral do trabalho consiste em estudo comparado entre a legislações
brasileira e europeia, no que tange aos incidentes de segurança, identificando semelhanças e
diferenças entre esses dois marcos normativos. Pretende-se, assim, chegar a uma compreensão
mais aprofundada da Lei Geral de Proteção de Dados Pessoais brasileira, mensurando qual
será a possível eficiência das normas implementadas no país e possíveis impactos para a
economia digital baseada em dados.
Os objetivos específicos desta monografia são: a) compreender a importância dos
dados para evolução da sociedade, b) compreender o funcionamento da economia baseada em
1
DONEDA, Danilo. Da privacidade à proteção de dados pessoais: fundamentos da Lei Geral de Proteção de
Dados. São Paulo: Thomson Reuters Brasil, 2020.
2
8
dados, c) apresentar um breve histórico da evolução da legislação da proteção de dados no

Brasil e na Europa d) expor os conceitos de segurança da informação e segurança cibernética,
e) abordar os princípios da segurança da informação, f) apresentar o conceito de incidente de
segurança, g) analisar os dispositivos da Lei Geral de Proteção de Dados que tratam dos
incidentes de segurança e h) identificar as semelhanças e diferenças entre as legislações
brasileira e europeia no que tange ao incidente de segurança.
O presente trabalho possui como base a realização de um estudo de direito comparado,
com esteio no trabalho dos professores alemães Konrad Zweigert e Hein Kotz, tem-se que o
método predominante nessa espécie de estudo é o funcionalista. Esse método busca identificar
respostas jurídicas, similares ou distintas a conflitos sociais semelhantes que ocorrem em
diversas partes do mundo3. Cabe ressaltar, que tal método promove uma microcomparação4,
concentrando esforços em identificar as diferenças mais fundamentais entre o sistema jurídico
e a regulação5.
O segundo método que será utilizado é o método estrutural, que visa analisar toda a
estrutura e relação entre diferentes sistemas jurídicos. Esse método objetiva realizar uma
macrocomparação, levando em consideração as características fundamentais e as funções do
sistema jurídico6.
Além dos citados métodos, o trabalho ainda se utilizará do método histórico, buscando
as origens históricas das legislações em análise, com o fito de obter uma contextualização da
norma e identificar as similaridades entre os institutos estudados7. Por fim, também será
utilizado o método do núcleo comum, buscando a identificação de pontos similares nos
ordenamentos brasileiro e europeu, com vistas a identificar normas comuns que possam ser
compartilhadas entre inúmeros países.
2. A IMPORTÂNCIA DOS DADOS
3
ZWEIGERT, Konrad; KÖTZ, Hein. An Introduction to Comparative Law. New York: Oxford University
Press, 1998. p. 15.
4
ADAMS, Maurice; HEIRBAUT, Dirk (Ed.). The Method and Culture of Comparative Law: Essays in
Honour of Mark Van Hoecke. Oxford: Hart Publishing, 2014.
5
HUSA, Jaakko. Research Designs of Comparative Law: Methodology or Heuristics? The Journal of
Comparative Law, v. 9, 2015.
6
HUSA, Jaakko. Research Designs of Comparative Law: Methodology or Heuristics? The Journal of
Comparative Law, v. 9, 2015.
7
VALCKE, Catherine; GRELLETTE, Mathew. Three Functions of Function in Comparative Legal Studies.
In: ADAMS, Maurice; HEIRBAUT, Dirk (Ed.). The Method and Culture of Comparative Law: Essays in
Honour of Mark Van Hoecke. Oxford: Hart Publishing, 2014.
9
Os dados exercem papel primordial na história da sociedade, tendo em vista que são
eles que permitem as trocas de informações. Conforme preceitua Yuval Noah Harari8, foi a
evolução cognitiva que diferenciou os Humanos atuais dos seus antepassados, dado que,
biologicamente, não houve tempo hábil para a evolução do cérebro, ou seja, os Humanos
possuem o mesmo grau de inteligência há mais de 10.000 anos, sendo a capacidade de gravar
e passar informações entre as gerações um dos aspectos mais relevantes da evolução
humana.Conforme Barbieri, outra revolução importante, que tem grande relevância para o
cenário econômico atual, ocorreu em 1948, quando foi publicada uma monografia na Revista
Técnica dos Sistemas Bell, chamada “Uma teoria matemática da comunicação”, de autoria do
engenheiro Claude Shannon, na qual houve a criação do termo bit. Até hoje são os bits que
tornam possível a armazenagem de dados digitais, segundo expõe Carlos Barbieri:
Os bits, alinhados em conjunto de 8 para formar um byte, transformavam-se em um

elemento capaz de representar uma letra ou um número, ou seja, um dado. Nasciam
assim os dados armazenados na forma digital, substituindo escritas, ábacos e outros
meios de registro e cálculo. Dos primeiros computadores originados naquela metade
do século passado aos clusters de processadores de hoje, os dados continuam sendo
o elemento fundamental9.
Com o avanço tecnológico que levou à possibilidade de armazenamento e

processamento de dados em larga escala, o mercado percebeu que os dados tinham um valor
maior do que era conferido a eles, possuindo potencial para revolucionar vários mercados.
Essa percepção foi mundial e, consequentemente, estudada por diversos doutrinadores, a
exemplo de Viktor Mayer-Schönberger e Kenneth Cukier que registraram o fenômeno em sua
obra:
Os dados não eram mais usados como algo estático e obsoleto, que a utilidade se
extinguia uma vez que fosse alcançado o objeto para o qual eles foram coletados e
armazenados, como quando um avião decola (ou no caso do Google, quando um
requerimento de pesquisa fosse realizado). Invés disso, os dados se tornaram matéria
prima para negócios, uma possibilidade de entrada em um mercado, usados para
criação de uma nova forma de valor econômico. Na verdade, com a estratégia
correta, os dados podem ser inteligentemente reutilizados para se tornarem uma
fonte de inovação e criação de novos serviços. Os dados podem revelar informações
preciosas àqueles que tem a humildade, a disposição e as ferramentas para ouvir.
(tradução livre)10.
8
HARARI, Yuval Noah. Sapiens: uma breve história da humanidade. Tradução de Janaína Marcoantonio. Porto
Alegre: L&PM, 2015, passim.
9
BARBIERI, Carlos. Governança de dados: práticas, conceitos e novos caminhos. Rio de Janeiro: Alta Books,
2019.p.3.
10
Texto Original: “Data was no longer regarded as static or stale, whose usefulness was finished once the
purpose for wich it was collected was achieved, such as after the plane landed (or in Google´s case, once a
10
A possibilidade de utilizar dados para impulsionar negócios ou, até mesmo, estruturar
modelos de mercados baseados em dados, rapidamente foi absorvida pelo mercado, havendo
várias empresas que foram criadas ou modificaram seu modelo de negócios para explorar o
armazenamento, processamento, análise e utilização de dados. Diante da ausência de
legislação específica regulando a proteção de dados, não havia nenhum tipo de controle
desses mercados, nem sequer se cogitava os impactos que essas práticas teriam em relação aos
titulares desses dados. Contudo, a economia baseada em dados apresentou um crescimento
exponencial, propulsionado pelas grandes empresas de tecnologia como Facebook, Google,
Instagram e Amazon. Além das empresas especializadas na exploração de dados, todo o
mercado foi impactado por essa revolução, tendo em vista que, com os avanços gerados pelos
estudos das ciências mercadológicas e as evoluções das técnicas de publicidade de produtos,
conhecidas como marketing, os dados se tornaram um importante ativo que fomenta a
economia das informações11.
Neste contexto, a economia de dados necessitava de regulação, como forma de
proteção ao titular dos dados, parte mais vulnerável. Frente a esse diagnóstico, houve o início
de um movimento global na área do direito que objetiva o estudo do tratamento e proteção
dos dados pessoais. Dentro dos diversos estudos e legislações criadas com o fito de regular o
tema, um dos marcos normativos mundiais foi o Regulamento Geral sobre a Proteção de
Dados (GDPR), editado pelo Parlamento Europeu e pelo Conselho da União Europeia no ano
de 2016, sendo aplicável a todos os indivíduos na União Europeia e Espaço Econômico
Europeu, desde 2018. Assevera Danilo Doneda que o Regulamento Geral sobre a Proteção de
Dados Europeu se tornou um marco legal mundial, não só por ser pioneiro em questões de
legislação que regulam o tratamento e proteção de dados pessoais, como, também, por ter sido
inspiração para a edição das demais legislações mundiais, como a “California Consumer
Privacy Act of 2018” (CCPA), editada pelo estado da Califórnia, nos Estados Unidos da
América12.
search query had been processed). Rather, data became a raw material os business, a vital economic input, used
to create a new form os economic value. In fact, with the right mindset, data can be cleverly reused to become a
fountain of innovation and new services. The data can reveal secrets to those with the humility, the willingness,
and the tool to listen” MAYER-SCHÖNBERGER, Viktor; CUKIER, Kenneth. Big Data: A Revolution That
Will Transform How We Live. Work, and Think. New York: Houghton Mifflin Harcourt, 2013
11
MAYER-SCHÖNBERGER, Viktor; CUKIER, Kenneth. Big Data: A Revolution That Will Transform How
We Live. Work, and Think. New York: Houghton Mifflin Harcourt, 2013. p.10.
12
Cf. DONEDA, Danilo. Da privacidade à proteção de dados pessoais: fundamentos da Lei Geral de Proteção
de Dados. São Paulo: Thomson Reuters Brasil, 2020.
11
No que tange ao Brasil, também com raízes na legislação europeia, em 10 de julho de

2018, o Senado Federal aprovou, por unanimidade, o Projeto de Lei da Câmara nº 53, de
2018, que previa a criação da Lei Geral de Proteção de Dados Pessoais, sendo tal projeto
sancionado pelo Presidente Michel Temer em 14 de agosto de 2018, dando origem à Lei nº
13.709, de 14 de agosto de 2018, começando a ter efeitos no dia 14 de agosto de 2020.
A Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709, de 2018) “dispõe sobre o
tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa
jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de
liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.”
Referida Lei objetiva oferecer uma solução eficiente para a tutela da privacidade no
âmbito da Internet, o que é um árduo trabalho, tendo em vista que os avanços tecnológicos
tendem a tornar obsoletas regras específicas, transferindo ao intérprete do direito o dever de
aplicar princípios gerais para a solução dos conflitos jurídicos.
Tal fenômeno já foi amplamente estudado pela doutrina norte-americana, podendo ser
citados, dentre outros, os juristas: Lawrence Lessig13, Yochai Benkler14, Jack L. Goldsmith15,
Tim Wu16, Jonathan L. Zittrain17 e Daniel J. Solove18.
Dentro das normas previstas na Lei Geral de Proteção de Dados, é necessária uma
especial análise das normas que tratam do incidente de segurança, usualmente conhecido
como vazamento, uma vez que tal evento expõe em um único momento os titulares de
milhares de dados, causando prejuízos à sociedade.
Portanto, para alcançar um alto nível de compreensão do incidente de segurança e
avaliar qual será a eficiência da norma brasileira, é necessário se aprofundar na análise da
conceituação do instituto, que foi apresentada pela ANPD (Autoridade Nacional de Proteção
de Dados), as normas internacionais de proteção de dados (como, por exemplo, as normas
ISO), a legislação europeia e os exemplos de incidentes de segurança que já ocorreram.
Justifica-se, assim, o presente trabalho, pela relevância dos institutos que promovem a
proteção de dados frente a um contexto de expansão da economia digital, que se baseia,
também, na comercialização de dados pessoais, como expõe Danilo Doneda:
13
Professor de Direito da Stanford Law School.
14
Professor de Direito da Harvard Law School.
15
16
Professor de Direito da Columbia Law School.
17
18
Professor de Direito da George Washington University Law School.
12
Recentes vazamentos de dados de enormes dimensões e escândalos sobre

compartilhamento de dados, como as revelações do caso Facebook – Cambridge
Analytica, deixam claro o quanto está em jogo também do ponto de vista coletivo,
para a sociedade como um todo, inclusive para a garantia de uma democracia
saudável e para a integridade do processo eleitoral. Estes e outros desdobramentos
nos lembram o motivo de ser tão importante proteger os dados pessoais como um
direito central do cidadão e como um imperativo democrático, porém também como
uma necessidade econômica: sem a confiança dos consumidores na forma com que
seus dados são tratados, não há como existir desenvolvimento sustentável da nossa
economia cada vez mais orientada para a informação19.
Pelo exposto, será avaliada a eficiência da legislação brasileira, no que tange aos
incidentes de segurança, estudando, não só as normas nacionais, como, também,
aprofundando-se na origem do instituto, principalmente na legislação europeia que, como
expresso alhures, serviu de inspiração para a edição da Lei Geral de Proteção de Dados
Pessoais.
3. A NECESSIDADE DA REGULAÇÃO DE PROTEÇÃO DE DADOS
Antes de adentrar à análise das legislações europeia e brasileira, é necessário realizar

uma retrospectiva da evolução do mercado das informações, baseada na economia de dados, e
do início das discussões acerca da legislação de dados, perpassando pelos conceitos básicos
do tema.
Como exposto alhures, o bit revolucionou a forma como os dados são processados,
permitindo a criação de tecnologias especializadas capazes de coletar e armazenar dados, os
quais começaram a ser utilizados para as mais diversas finalidades. Contudo, a utilização de
dados não se iniciou junto com a computação. Antes mesmo dos primeiros computadores
serem desenvolvidos, já havia a coleta e transmissão de dados, por meio de documentos
físicos.
A análise de dados foi responsável por grandes avanços em diversas áreas das
ciências, como, por exemplo, no desenvolvimento das rotas de navegação de navios. Matthew
Fontaine Maury foi o oficial da marinha dos Estados Unidos da América responsável pela
criação do sistema que é utilizado até os dias de hoje. O seu método foi desenvolvido pelo
19
13
cruzamento de dados que constavam de documentos que previam as diversas rotas já

utilizadas pela marinha dos Estados Unidos da América20.
Quanto mais os dados eram explorados, mais se descobriam novas formas de utilizá-
los, até que foram desenvolvidas as técnicas Big Analytics e Big Data. Tais mecanismos
revolucionaram o mercado, ao passo que não foram acompanhados, a priori, da devida
resposta legislativa, o que se tornou um perigo eminente ao titular dos dados, conforme
conclui Ana Frazão:
É verdade que a coleta de dados pessoais não é algo propriamente novo, sendo a
história da humanidade marcada por inúmeras experiências e avanços na tarefa de
obter, coletar, registrar e acessar dados. Entretanto, o Big Data e o Big Analytics
possibilitaram que tais atividades ocorressem de maneira muito mais eficiente, com
mais veracidade, velocidade, variedade e volume. Mais do que isso, o Big Data e o
Big Analytics permitiram que, a partir da coleta e do registro de dados, fossem a eles
atribuídas utilizações e aplicações que não seriam sequer imagináveis há poucos
anos atrás e que, na ausência de uma regulação adequada, passaram a ser realizadas
sem limites e com resultados que podem se projetar para sempre21.
Neste contexto, os dados se tornaram um dos ativos mais valiosos, conforme a

manchete da capa da revista The Economist de 06.05.201722 – The world's most valuable
resource. Como o capitalismo do século XXI passou a centrar-se na extração e no uso de
dados pessoais, como defende Nick Srnicek23, rapidamente as empresas que tinham seus
modelos baseados em dados se tornaram as maiores empresas do mundo, desenvolvendo
modelos de negócio alicerçados na exploração da Big Data.
Para melhor compreensão do funcionamento da economia de Big Data, primeiro é
necessário visitar o próprio conceito da expressão, que é abordado por Barbieri:
O conceito de Big Data nada mais é do que a representação de um novo momento da

sociedade, quando diversas mudanças de tecnologia acabaram por gerar uma
profunda produção de dados, de variados tipos e com volumes e velocidades de
dimensões diferentes. Assim, Big Data, muito mais do que tecnologias específicas,
representa um novo estado das tecnologias existentes, algumas agora evoluídas e
outras relativamente novas, tudo em função desse novo momento24.
20
We Live, Work, and Think. New York: Houghton Mifflin Harcourt, 2013
21
TEPEDINO, Gustavo; FRAZÃO, Ana; OLIVA, Milena Donato (Coord.). Lei Geral de Proteção de Dados
Pessoais e Suas Repercussões no Direito Brasileiro. São Paulo: Thomson Reuters Brasil, 2019. p.10.
22
JOSSEN, Sam. The world’s most valuable resource is no longer oil, but data. The Economist. Disponível em:
www.economist.com/leaders/2017/05/06/the-worlds-most-valuable-resource-is-no-longer-oil-but-data. Acesso
em: 20 jan. 2022.
23
SRNICEK, Nick. Platform capitalism. Cambridge: Polity Press, 2018. p. 39.
24
BARBIERI, Carlos. Governança de dados: práticas, conceitos e novos caminhos. Rio de Janeiro: Alta
Books, 2019.p.107.
14
Portanto, conclui-se que o conceito de Big Data não se resume à coleta e

processamento de dados em larga escala, mas sim a uma nova forma de explorar dados, tendo
em vista que, com o avanço das tecnologias, houve a descoberta de inúmeras novas utilidades
para os dados, revolucionando grande parte das atividades econômicas e mercados já
existentes, além de criar um modelo de negócios altamente lucrativo. Essa mudança de
paradigma nas formas em que a sociedade utiliza os dados é um dos grandes elementos da
sociedade atual.
Além do conceito de Big Data, para atingir um nível relevante de compreensão sobre
o tema, é necessário analisar o modelo de negócios oferecido por empresas do setor, onde se
destaca o modus operandi adotado pela empresa Google. A Google oferece uma série de
serviços gratuitos aos seus usuários, como o mecanismo de pesquisa (Google Search), o
serviço de e-mail (Gmail) e o serviço de localização geográfica (Google Earth). À medida que
há uma grande demanda pelos serviços oferecidos, a Google inicia o seu processo de coleta
dos dados dos usuários, armazenando dados como: os termos que certo usuário pesquisa na
internet, os principais contatos do usuário, a localização geográfica e mais uma infinidade de
dados.
Após a coleta dos dados, a empresa realiza uma análise do que foi coletado, o que
resulta na criação de bens e serviços comercializáveis, além de fornecer uma base de dados
confiável que pode ser de grande utilidade, como, por exemplo, durante uma pandemia.
Assim funciona o modelo de negócios da Big Data, conforme exposto por Viktor Mayer-
Schönberger e Kenneth Cukier:
O método do Google não envolve distribuir cotonetes ou contratar médicos. Em

vez disso, o método é baseado em big data – a capacidade da sociedade de
utilizar as informações de novas maneiras para produzir novos métodos, bens ou
serviços de alto valor. Com isso, quando houver outra pandemia, o mundo
possuirá ferramentas melhores à disposição para prever e impedir a propagação
do vírus. (tradução livre).25.
Esse modelo de negócios se revelou altamente lucrativo, iniciando uma disputa entre
as Big Techs para angariar novos usuários, o que possibilitaria que a empresa tivesse acesso a
25
Texto original: “Strikingly, Google’s method does not involve distributing mouth swabs or contacting
physicians’ offices. Instead, it is built on “big data”—the ability of society to harness information in novel ways
to produce useful insights or goods and services of significant value. With it, by the time the next pandemic
comes around, the world will have a better tool at its disposal to predict and thus prevent its spread” MAYER-
SCHÖNBERGER, Viktor; CUKIER, Kenneth. Big Data: A Revolution That Will Transform How We Live.
Work, and Think. New York: Houghton Mifflin Harcourt, 2013. p.7.
15
novos dados e, consequentemente, aumentasse seus lucros. Inclusive, o valor dos dados é uma
das grandes razões para a existência de inúmeros serviços gratuitos na rede mundial de
computadores26.
Apesar do imensurável valor econômico dos dados, a economia baseada em Big Data
gera uma preocupação em relação à proteção do titular dos dados em suas relações jurídicos-
econômicas com as grandes empresas de tecnologia, dado que, por se tratar de um mercado
inovador, propulsionado pelos avanços tecnológicos, a legislação tende a se tornar obsoleta.
O que ocorreu, na prática, foi um desenfreado uso dos dados coletados para as mais
diversas finalidades, como: avaliações de empresas de recursos humanos no momento de
cogitar um candidato para uma certa vaga, instituições financeiras para a realização de uma
análise de crédito, publicidade e definição do preço de um produto ou serviço para certo
usuário.
Esse tratamento dos dados sem sequer haver ciência do titular e, por vezes, em
prejuízo dele, escancarou a necessidade da existência de uma legislação atualizada, que
proteja os direitos dos titulares, limitando o armazenamento e utilização de dados, como
descrito por Frank Pasquale:
Não temos que viver em um mundo onde pontuações ocultas determinam o destino
das pessoas, ou as manipulações humanas do mercado de ações permanecem tão
inescrutáveis quanto a “mão invisível do mercado”. Não devemos nos preocupar que
o destino de indivíduos, empresas e até mesmo nossos sistemas financeiros estejam
à mercê de bancos de dados ocultos, pontuações duvidosas e apostas obscuras.
(Tradução livre). 27.
Além da utilização de dados sem a ciência do titular e com o fim de, em certos casos,
prejudicá-lo, outro ponto que gera grande preocupação é em relação à segurança da
informação. A partir do momento que existem certos bancos de dados digitais contendo uma
infinidade de dados que podem lesar o titular, é necessário que haja uma regulação no sentido
de obrigar àqueles que tratam os dados a adotar medidas de segurança para a criação de um
sistema eficiente que impeça a ocorrência de incidentes de segurança e, nos casos em que haja
incidente, minimizar seus impactos.
26
We Live. Work, and Think. New York: Houghton Mifflin Harcourt, 2013
27
Texto original: “We do not have to live in a world where hidden scores determine people`s fates, or human
manipulations of the stock market remain as inscrutable as the “invisible hand”. We should not have to worry
that fates of individuals, businesses, and even our financial systems are at the mercy of hidden databases,
dubious scores, and shadowy bets” PASQUALE, Frank. The black box society: The secret algorithms that
control money and information. Cambridge: Harvard University Press, 2015. p. 16.
16
Neste contexto, apesar de já haver legislações de proteção de dados desde meados de

1970, como será abordado a frente, escancarou-se mundialmente a necessidade da criação de
uma legislação moderna que regulasse a economia de dados, conferindo segurança ao titular.
Esse movimento internacional de edição de uma legislação acerca da proteção de
dados foi encabeçado pela União Europeia28, que, por meio de uma evolução legislativa, criou
o Regulamento Europeu de Proteção de Dados (GDPR), que serviu de base para as criações
das legislações dos Estados Unidos da América, do Brasil e de diversos outros países do
mundo.
4. HISTÓRICO DA CRIAÇÃO DO REGULAMENTO EUROPEU
Conforme exposto, os países europeus foram os primeiros a iniciar o processo

legislativo para a criação de normas que regulassem a proteção de dados29. O GDPR, que é
base para a maior parte das legislações no mundo, foi resultado de uma evolução das normas
de proteção de dados que começaram a surgir em meados de 1970. Portanto, para
compreender de forma aprofundada a legislação europeia, é necessário realizar uma
retrospectiva da evolução legislativa no continente.
A primeira tentativa de elaborar uma legislação acerca da proteção de dados ocorreu
na Alemanha Ocidental em 197030. A Lei era composta por apenas 17 artigos, visando regular
a atividade de centros de processamento de dados de instituições. O aspecto mais relevante
dessa lei era a previsão de uma autoridade para a proteção de dados. Posteriormente, em 1977,
foi promulgada uma lei federal na Alemanha sobre a matéria, a Bundesdatenschutzgesetz.
Contudo, a primeira lei nacional sobre a proteção de dados foi editada na Suécia, em
1973, e dispunha acerca do controle de bancos de dados. Em seguida, foram editadas leis em
diversos países, como a Lei 78-17 de 6 de janeiro de 1978, na França, denominada
Informatique et Libertés, que passou a regular a matéria, instituindo a Commission Nationale
de l’Informatique et des Libertés – CNIL como órgão fiscalizador da aplicação da norma.
Portugal e Espanha, que passavam por processos de redemocratização, também optaram por
inserir previsão legal sobre o tema, incluindo a proteção de dados em suas respectivas
constituições.
28
BIONI, Bruno Ricardo. Proteção de dados pessoais: a função e os limites do consentimento. Rio de Janeiro:
Forense, 2019.
29
Dados. São Paulo: Thomson Reuters Brasil, 2020..
30
GVB1 I S. 625 de 7 de outubro de 1970.
17
Apesar das iniciativas nacionais, rapidamente os estados chegaram à conclusão de que

seria necessária a edição de uma norma internacional regulando o tema. Um dos aspectos
mais relevantes para essa conclusão é o fato de que a coleta e o tratamento de dados pessoais
podem facilmente ser feitos fora dos limites geográficos de um estado. Assim, os juristas
concluíram que seria necessária uma legislação supranacional para oferecer as garantias
jurídicas necessárias, como expõe Giovanni Buttarelli:
O aumento de movimentos transfronteiriços de pessoas, de mercadorias e de

serviços, trouxe, junto ao desenvolvimento das telecomunicações, uma perspectiva
completamente nova que tornou vã a resolução de conflitos de interesse se
observadas em âmbito nacional: a eficácia das legislações resultava diretamente
proporcional a amplitude da cooperação. (tradução livre).31.
Neste sentido, o Conselho Europeu emitiu um documento recomendando que as

nações adotassem princípios mínimos em relação à legislação de proteção de dados,
aguardando um movimento legislativo organizado entre o continente tratando sobre o tema,
conforme expõe Danilo Doneda:
Ainda em 1973, a Assembleia Consultiva do Conselho Europeu solicitou ao Comitê

de Ministros a adoção de recomendações que relacionassem o então novo fenômeno
das novas técnicas de coleta de informações com o artigo 8°. Da Convenção
Europeia para a salvaguarda dos Direitos do Homem e das Liberdades Fundamentais
24. Foi então publicada, em 1973, uma resolução 25 que incentivava os países
europeus a adotarem princípios mínimos na matéria, com vistas a uma futura
convenção para aprofundar as linhas comuns em seu direito interno 32.
Em 1981, o Conselho da Europa editou a Convenção para a Proteção de Indivíduos

com Respeito ao Processamento Automatizado de Dados Pessoais33, recomendando que os
países adotassem normas específicas acerca da proteção de dados. Foi o primeiro passo para a
criação de uma legislação europeia unificada. A convenção também já indicava a necessidade
de uma legislação mundialmente compatível, tendo sido aberta para a adesão de países fora do
31
Texto original: “L’incremento dei movimenti transfrontalieri di persone, merci e servizi aveva aperto, assieme
allo sviluppo delle telecomunicazioni, una prospettiva del tutto nuova, che rendeva vana la risoluzione dei
conflitti d’interesse se proiettata sul solo âmbito nazionale: l’efficacia delle legislazioni risultava direttamente
proporzionale all’ampiezza della cooperazione” BUTTARELLI, Giovanni. Banche dati e tutela dela
riservatezza. Milano: Giuffrè, 1997. p. 9.
32
Dados. São Paulo: Thomson Reuters Brasil, 2020.p.192.
33
CONSELHO DA EUROPA. Convenção para a Proteção de Indivíduos com Respeito ao Processamento
Automatizado de Dados Pessoais Disponível em https://www.coe.int/en/web/data-protection/convention108-
andprotocol. Acesso em: 16 dez. 2021.
18
continente Europeu. Alguns países que também ratificaram a convenção foram Argentina,
México e Uruguai.
Com a edição desta convenção, diversos países europeus adequaram seus
ordenamentos internos às novas diretrizes, ao passo que alguns desenvolveram suas primeiras
legislações acerca da proteção de dados, a exemplo da Bélgica.
Apesar dos avanços apresentados pela convenção de 1981, foi em 1995 que surgiu o
documento que objetivava padronizar34 a proteção de dados pessoais nos estados da União
Europeia, a Diretiva 95/46/CE, do Parlamento Europeu e do Conselho. A 95/46/CE possuía
um objetivo de, ao mesmo tempo, promover a proteção do titular de dados, editando as
normas necessárias para gozo dos seus direitos fundamentais, e fomentar o mercado de
comercialização de dados na União Europeia.
Isto pode ser constatado pela leitura da legislação, tendo em vista que o artigo 1º
dispõe que o objetivo da norma é:
1. Os Estados-Membros assegurarão, em conformidade com a presente directiva, a

protecção das liberdades e dos direitos fundamentais das pessoas singulares,
nomeadamente do direito à vida privada, no que diz respeito ao tratamento de dados
pessoais.;
Ao passo que o item 2 das considerações iniciais faz expressa menção à importância
do sistemas de tratamento de dados, que está a serviço do homem, dispondo expressamente
que a legislação visa o desenvolvimento econômico do comércio e o bem estar dos
indivíduos:
2) Considerando que os sistemas de tratamento de dados estão ao serviço do

Homem; que devem respeitar as liberdades e os direitos fundamentais das pessoas
singulares independentemente da sua nacionalidade ou da sua residência,
especialmente a vida privada, e contribuir para o progresso económico e social, o
desenvolvimento do comércio e o bem-estar dos indivíduos;
Esse texto normativo trouxe importantes inovações no âmbito da proteção de dados,

tendo em vista que introduziu no sistema institutos importantes, como os diversos conceitos
previstos no artigo 2º da 95/46/CE, a definição de um escopo de aplicação mais abrangente
(conforme previsto no artigo 3º), além de inserir alguns princípios, como o princípio da
finalidade, princípio da qualidade dos dados e o princípio da legitimidade do processamento
34
WUERMELING. Ulrich. Harmonization of European Union Privacy Law. John Marshall Journal of
Computer & Information Law, v. 14-, 1996.p. 411.
19
dos dados. Portanto, a 95/46/CE trouxe grandes avanços no que tange à legislação de proteção
de dados, principalmente no âmbito das garantias básicas do titular.
Contudo, a diretriz falhou no seu objetivo de criar uma norma que regulasse de
maneira uniforme em todos os estados membros da União Europeia a proteção de dados.
Principalmente em razão da diretriz não ser diretamente aplicada aos membros da UE,
prevendo apenas que os estados deveriam replicar nas legislações nacionais as normas
previstas na diretriz, como lecionam Paul Voigt e Axel von dem Bussche:
Em 1995 a Comunidade Europeia adotou a Diretiva 95/46/EC do Parlamento

Europeu e do Conselho de 24 de outubro de 1995 sobre a proteção dos titulares no
tratamento de dados pessoais e à livre circulação desses dados (em suma: a Diretiva
de Proteção de Dados) para harmonizar a proteção dos direitos fundamentais dos
indivíduos no que diz respeito às atividades de processamento de dados e garantir o
livre fluxo de dados pessoais entre os Estados Membros da UE. As diretivas
europeias não são diretamente aplicáveis em todos os Estados Membros da UE, mas
devem ser transpostos para o direito nacional. Assim, exigem medidas de
implementação em cada Estado-Membro da UE. A Diretiva de Proteção de Dados
não correspondeu aos seus objetivos e não alinhou o nível de proteção de dados na
UE. Surgiram diferenças nos ordenamentos jurídicos em consequência dos atos de
execução adotados pelos vários Estados-Membros da UE. As atividades de
processamento de dados permitidas em um Estado-Membro da UE podem ser ilegais
em outro no que diz respeito à execução específica do processamento de dados 35.
Para solucionar o problema, em 2012, iniciou-se o debate para a criação de um

regulamento europeu sobre a proteção de dados. Contudo, o General Data Protection
Regulation (GDPR) foi criado apenas em 2016, 4 anos após o início das discussões sobre o
tema.
O Regulamento Geral de Proteção de dados alterou a sistemática de proteção de dados
na Europa, tendo em vista que um regulamento é diretamente aplicável36 às nações membras
da União Europeia, não sendo necessária a edição de legislações nacionais e garantindo uma
uniformidade na política de proteção de dados entre os estados.
35
Texto Original: “In 1995, the European Community therefore adopted Directive 95/46/EC of the European
Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing
of personal data and on the free movement of such data (in short: the Data Protection Directive) in order to
harmonise the protection of fundamental rights of individuals with regard to data processing activities and to
ensure the free flow of personal data between EU Member States.4 European directives are not directly
applicable in all EU Member States but have to be transposed into national law. Thus, they require
implementation measures in each EU Member State. The Data Protection Directive did not live up to its
objectives and failed to align the level of data protection within the EU. Legal differences arose as a
consequence of the implementing acts adopted by the various EU Member States. Data processing activities that
were allowed in one EU Member State could be unlawful in another one with regard to the specific execution of
data processing” VOIGT, Paul; VON DEM BUSSCHE, Axel. The EU General Data Protection Regulation
(GDPR): a practical guide. Cham: Springer, 2017.p.11.
36
20
Segundo o próprio preâmbulo do Regulamento Geral de Proteção de Dados Pessoais

Europeu, a legislação visa: (i) criar regras para a proteção no processo de tratamento e
processamento de dados pessoais, (ii) regular a livre circulação de dados pessoais, (iii)
proteger os direitos fundamentais de liberdade e privacidade dos cidadãos e (iv) promover o
progresso econômico no âmbito da economia digital.
O GDPR também trouxe inovações no que tange aos direitos dos titulares de dados,
prevendo expressamente novos direitos aos titulares, fortalecendo a proteção de dados e
adaptando as antigas legislações à nova realidade da economia baseada em dados, como
ilustra Ciara Staunton:
O GDPR busca fortalecer a proteção dos dados pessoais e tem previsões específicas
sobre os direitos pessoais em relação aos dados: o direito a informação (Artigo 13 e
14), o direito de acesso (Artigo 15), o direito à retificação (Artigo 16), o direito à
exclusão (Artigo 17), o direito de limitação do tratamento (Artigo 18), o direito à
portabilidade de dados (Artigo 20), o direito à finalidade (Artigo 21) e o direito
sobre de que haja uma tomada de decisão individual (Artigo 22). Os direitos
destinam-se a aumentar a autonomia e o controle que um titular de dados tem sobre
o tratamento de seus dados pessoais, podem controlar e limitar o uso deles.37.
A criação do GDPR também causou impactos fora da Europa, uma vez que diversas
nações começaram a discutir a criação de legislações próprias que regulassem a proteção de
dados. Conforme é defendido por Colin Bennett38, há uma tendência mundial de convergência
das políticas públicas de proteção de dados, em razão: (i) do determinismo tecnológico; (ii) da
praticidade de cópia de institutos já previstos em outros países (iii) da existência de um grupo
de elite que participa de forma ativa na formulação de propostas legislativas em diversos
países; (iv) da harmonização ou o reconhecimento do valor de uma política coesa na área; (v)
da possibilidade de uma jurisdição com sistema próprio influenciar outras, em razão da
37
Texto Original: “The General Data Protection Regulation (GDPR) seeks to strengthen the protection of
personal data and it makes explicit provision for certain personal rights for data subjects: the right to
information (Article 13 & 14), the right of access (Article 15), the right to rectifcation (Article 16), the right to
erasure (Article 17), the right to restriction of processing (Article 18), the right to data portability (Article 20),
the right to object, (Article 21) and the right regarding automated individual decisionmaking (Article 22). The
rights are intended to enhance the autonomy and control that a data subject has over the processing of their
personal data, and as such, could control and limit the use of a data subjects’ personal data” S
SLOKENBERGA, Santa; TZORTZATOU, Olga. GDPR and Biobanking Individual Rights, Public Interest
and Research Regulation across Europe. Cham: Springer Open Access, 2021.p.95.
38
“Over time, international harmonization efforts, intensive attempts at cross-national learning, as well as the
imperatives of increasingly global communications networks have motivated a process of international policy
convergence. This process has now progressed to such an extent that there is a broad international consensus, at
least among the industrialized countries, about what it means for an organization to pursue privacy friendly
policies. It means that an organization” BENNETT, Colin. Visions of Privacy: Policy Choices for the Digital
Age. Toronto. University of Toronto Press. 1999. p. 6.
21
previsão de normas que limitem as relações comerciais com nações que não possuem
legislações com o mesmo grau de proteção de dados.
Como a Europa foi pioneira na criação da legislação de dados, as legislações
internacionais que foram criadas após a edição do GDPR foram baseadas, em sua maioria, no
regulamento europeu. No Brasil, a LGPD seguiu a tendência mundial, tendo evidente
influência do direito europeu, como será demonstrado a seguir.
5. HISTÓRICO DA PROTEÇÃO DE DADOS NO BRASIL
No Brasil, seguindo a tendência mundial, houve uma crescente discussão acerca da

necessidade da criação de leis que adaptassem a legislação às novas tecnologias existentes,
regulando as relações jurídicas que ocorrem no ambiente digital. Conforme expõem Leonardo
Netto Parentoni e Henrique Souza Lima, a ideia inicial, no Brasil, era de edição de 3 normas
diferentes, que formariam o tripé da legislação acerca do direito digital:
No Brasil, o plano era atualizar a Lei de Direitos Autorais - LDA de 1998 e

introduzir outras duas para disciplinar, respectivamente, aspectos estruturais da
internet (MCl) e o tratamento de dados pessoais (LGPD). Era de se esperar que esses
três pilares fossem implantados simultaneamente, de maneira complementar e
harmônica, resultando num sistema coeso. A prática, no entanto, evidenciou
percurso assaz diverso39.
Contudo, o plano inicial não foi executado como planejado. A Lei Geral de Proteção
de Dados foi editada 4 anos após o Marco Civil da Internet e a atualização da Lei de Direito
Autorais ainda não ocorreu.
Antes da edição da Lei Geral de Proteção de Dados, o Brasil já possuía dispositivos
isolados acerca dos direitos dos titulares de dados, que foram inseridos de forma avulsa em
diversas legislações com propósitos específicos, frente à ausência de uma legislação geral
sobre o tema.
A primeira diretiva sobre o direito à privacidade e proteção de dados é a própria
Constituição Brasileira, onde se encontram os princípios norteadores dos direitos à
privacidade e à informação, inseridos com status de cláusulas pétreas no texto constitucional,
conforme leciona Doneda:
39
PARENTONI, Leonardo Netto e LIMA, Henrique Souza em DE LUCCA, Newton; SIMÃO FILHO,
Adalberto; LIMA, Cíntia Rosa Pereira; Maciel, Renata Mota (Coord.). Direito e Internet IV: Sistema de
Proteção de Dados Pessoais. São Paulo: Quartier Latin, 2019.p.483.
22
Previamente, advirta-se para o fato de que a Constituição brasileira contemplava o

problema da informação, de início, por meio das garantias à liberdade de expressão
1 e do direito à informação. 2 Além disso, a Constituição considera invioláveis a
vida privada e a intimidade (art. 5°, X), estabelece a garantia da inviolabilidade
especificamente para a interceptação de comunicações telefônicas, telegráficas ou de
dados (artigo 5°, XII), bem como institui a ação de habeas data (art. 5°, LXXII), que
basicamente estabelece uma modalidade de direito de acesso e retificação dos dados
pessoais40.
No que tange à legislação ordinária, também foram inseridos em leis dispositivos que
tratam da proteção de dados, como: o Código Brasileiro de Comunicações, a Lei do Cadastro
Positivo, o Código Penal (por meio da edição a Lei Carolina Dieckmann, Lei nº 12.737/2012),
além de dispositivos específicos na legislação tributária, trabalhista e outras.
O Código de Defesa do Consumidor (CDC), Lei 8.078, de 11 de setembro de 1990,
tem protagonismo entre esses dispositivos de proteção de dados. O artigo 43 do CDC incluiu
uma série de institutos que visam a proteção dos dados do consumidor, mais especificamente
em relação às suas informações pessoais. Como o Código de Defesa do Consumidor foi
editado com o objetivo de conferir proteção à parte mais vulnerável na relação de consumo,
acabou por criar um sistema inovador que engloba também a proteção dos dados do
consumidor.
O artigo 43 do Código de Defesa do Consumidor teve como base a normativa norte-
americana de proteção ao crédito, estabelecida pelo National Consumer Act e pelo Fair Credit
Reporting Act – FCRA, de 197041, o que limita a sua eficiência no que tange à proteção de
dados.
Contudo, por meio de uma interpretação extensiva, conforme defende Antônio
Herman de Vasconcelos, é possível se extrair princípios e conceitos de proteção de dados que
alcançam certo nível de complexidade, como o instituto da finalidade dos dados tratados, que
pode ser obtido pela interpretação dos princípios da boa-fé, previstos no CDC, juntamente
com o direito constitucional à privacidade:
As informações dos arquivos de consumo só podem ser prestadas uma vez

preenchidas duas condições: uma solicitação individual decorrente de uma
necessidade de consumo42.
40
Dados. São Paulo: Thomson Reuters Brasil, 2020.p.266.
41
BENJAMIN, Antônio Herman de V. et al. Código brasileiro de defesa do consumidor: Comentado pelos
autores do anteprojeto. 5. ed. Rio de Janeiro: Forense Universitária, 1997.p. 327.
42
BENJAMIN, Antônio Herman de V. et al. Código brasileiro de defesa do consumidor: Comentado pelos
autores do anteprojeto. 5. ed. Rio de Janeiro: Forense Universitária, 1997.p.328.
23
Além do Código de Defesa do Consumidor, o Marco Civil da Internet também previa

dispositivos acerca da proteção de dados, com nível de complexidade superior às previsões
anteriores.
São exemplos as seguintes normas previstas no Marco Civil da Internet:
inviolabilidade da intimidade e da vida privada (Art. 7º, I), proteção contra o fornecimento de
dados pessoais coletados pela internet a terceiros sem prévio consentimento do titular (Art. 7º,
VII), direito a informações claras e completas sobre o tratamento de dados pessoais (Art. 7º,
VIII) e necessidade de consentimento expresso e destacado sobre o tratamento dos dados (Art.
7º, XI).
Apesar do avanço legislativo em relação à proteção de dados, o Marco Civil da
Internet não foi suficiente para garantir uma proteção abrangente ao titular dos dados 43, nem
se prestou a regular o mercado da economia de dados. Isso ocorreu justamente porque a
edição do MI aguardava a futura criação de uma lei geral que regularia a proteção de dados.
Não obstante a inexistência de legislação geral tratando especificamente do tema, as
discussões acerca dos limites da utilização de dados foi crescendo exponencialmente na
sociedade, o que se refletiu por meio de decisões judiciais proferidas pelo Supremo Tribunal
Federal.
Dentre elas, destaca-se a ADPF 695 (Caso Abin/Denatran), a ADI 656 (Cadastros de
dependentes químicos) e a ADI 6.529 (Caso Sisbin). Algumas dessas decisões se prestaram a
limitar a utilização de dados pelo poder público, como na ADI 6.529, na qual foi decidido que
os órgãos componentes do Sistema Brasileiro de Inteligência (Sisbin) somente podem
fornecer dados e conhecimentos específicos à Agência Brasileira de Inteligência (Abin)
quando for comprovado o interesse público da medida.
A decisão mais emblemática sobre o tema foi proferida na ADI 6387. A ação direta de
inconstitucionalidade visava declarar a inconstitucionalidade da Medida Provisória n.954, que
tratava do compartilhamento de dados por empresas de telecomunicações prestadoras de
Serviço Telefônico Fixo Comutado (STFC) e de Serviço Móvel Pessoal (SMP). com o IBGE,
com o fito de auxiliar na produção estatística oficial durante a situação de emergência de
saúde pública decorrente da pandemia do Corona Vírus-2019 (Covid-19).
43
PARENTONI, Leonardo Netto e LIMA, Henrique Souza em DE LUCCA, Newton; SIMÃO FILHO,
Adalberto; LIMA, Cíntia Rosa Pereira; Maciel, Renata Mota (Coord.). Direito e Internet IV: Sistema de
Proteção de Dados Pessoais. São Paulo: Quartier Latin, 2019.
24
Ao julgar a inconstitucionalidade da norma, a Ministra Rosa Weber destacou em seu

voto a necessidade de tratar o direito à proteção de dados como direito fundamental, em razão
da liberdade individual, da privacidade e da personalidade:
[...] 1. Decorrências dos direitos da personalidade, o respeito à privacidade e à

autodeterminação informativa foram positivados, no art. 2º, I e II, da Lei nº
13.709/2018 (Lei Geral de Proteção de Dados Pessoais), como fundamentos
específicos da disciplina da proteção de dados pessoais. 2. Na medida em que
relacionados à identificação - efetiva ou potencial - de pessoa natural, o tratamento e
a manipulação de dados pessoais hão de observar os limites delineados pelo âmbito
de proteção das cláusulas constitucionais assecuratórias da liberdade individual (art.
5º, caput), da privacidade e do livre desenvolvimento da personalidade (art. 5º, X e
XII) [...]
Todo esse cenário indicava a necessidade de edição de uma legislação geral que
tratasse da proteção de dados, tanto por se tratar de direito fundamental autônomo, quanto
pelo novo contexto econômico do surgimento da economia de Big Data, como esclarece
Stefano Rodotà:
Estamos diante da verdadeira reinvenção da proteção de dados – não somente

porque ela é expressamente considerada como um direito fundamental autônomo,
mas também porque se tornou uma ferramenta essencial para o livre
desenvolvimento da personalidade. A proteção de dados pode ser vista como a soma
de um conjunto de direitos que configuram a cidadania do novo milênio 44.
Neste contexto, foi editada a Lei Geral de Proteção de Dados, de 14 de agosto de

2018, concretizando as normas de proteção de dados no Brasil e se tornando a principal
norma do sistema de proteção de dados no país.
A Lei Geral de Proteção de Dados foi inspirada pelo Regulamento Europeu de
Proteção de Dados45, possuindo uma série de institutos que são iguais ou similares, como é o
caso do conceito de dados pessoais, da criação de uma autoridade nacional de proteção de
dados, da existência de sanções baseadas no faturamento e outros. Portanto, assim como o
GDPR, a LGPD visa conferir segurança ao titular nas relações jurídicas envolvendo seus
dados pessoais, ao passo que também pretende fomentar o crescimento da economia baseada
em dados no país.
Os princípios da LGPD estão listados em seu artigo 6º da Lei, quais sejam:
44
RODOTÀ, Stefano. A vida na sociedade da vigilância: a privacidade hoje. Tradução de Danilo Doneda e
Luciana Cabral Doneda. Rio de Janeiro: Renovar, 2008. p. 17
45
25
Art. 6º As atividades de tratamento de dados pessoais deverão observar a boa-fé e os

seguintes princípios:
I – finalidade: realização do tratamento para propósitos legítimos, específicos,
explícitos e informados ao titular, sem possibilidade de tratamento posterior
de forma incompatível com essas finalidades;
II – adequação: compatibilidade do tratamento com as finalidades informadas ao
titular, de acordo com o contexto do tratamento;
III – necessidade: limitação do tratamento ao mínimo necessário para a realização de
suas finalidades, com abrangência dos dados pertinentes,
proporcionais e não excessivos em relação às finalidades do tratamento de dados;
IV – livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a
forma e a duração do tratamento, bem como sobre a integralidade de seus
dados pessoais;
V – qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e
atualização dos dados, de acordo com a necessidade e para o cumprimento da
finalidade de seu tratamento;
VI – transparência: garantia, aos titulares, de informações claras, precisas e
facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de
tratamento, observados os segredos comercial e industrial;
VII – segurança: utilização de medidas técnicas e administrativas aptas a proteger os
dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de
destruição, perda, alteração, comunicação ou difusão;
VIII – prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude
do tratamento de dados pessoais;
IX – não discriminação: impossibilidade de realização do tratamento para fins
discriminatórios ilícitos ou abusivos;
X – responsabilização e prestação de contas: demonstração, pelo agente, da adoção
de medidas eficazes e capazes de comprovar a observância e o cumprimento das
normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.
Desses princípios, os mais relevantes para o recorte que será realizado no presente
trabalho são os da segurança, prevenção, qualidade e transparência, uma vez que estão
diretamente ligados aos incidentes de segurança e ao conceito de segurança da informação,
como será abordado a seguir.
6. SEGURANÇA DA INFORMAÇÃO
Antes de adentrar ao mérito dos incidentes de segurança e a sua previsão no

ordenamento jurídico brasileiro, relevante abordar alguns conceitos básicos sobre segurança
da informação. Primeiramente, é necessário realizar a diferenciação entre dado e informação.
Apesar de os termos muitas vezes serem usados como sinônimos, há uma diferença
entre eles. Uma informação é um conjunto de dados organizados que adquirem significado.
Dessa forma, uma informação é composta por vários dados, ao passo que não necessariamente
todos os dados são informações. Conforme expõe Barbieri, há inclusive, uma discussão na
26
doutrina se por meio das normas de gestão se pretende atingir uma governança de dados ou
uma governança da informação:
Embora haja definições diferentes para dados (estrutura elementar da cadeia

informacional, que será transformada em informação no patamar seguinte) e
informações (semântica e contextualização dos dados para geração de fatos), a
gestação de governança de dados tem se confundido com governança das
informações, quando a visão é o controle desses recursos. Se analisarmos a literatura
mais recente sobre esses dois temas, vamos notar que há livros, por exemplo, com
títulos com as duas definições. Entretanto, se você mergulhar nos conteúdos deles,
vai observar que a temática é absolutamente a mesma46.
Como a Lei Geral de Proteção de Dados optou por inserir no seu 1º artigo que: “Esta
Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa
natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os
direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da
personalidade da pessoa natural” e conceituou dado pessoal, por meio do artigo 5º, como:
“informação relacionada a pessoa natural identificada ou identificável”, por assunção lógica,
chega-se à conclusão que a LGPD pretende definir regras para criação de uma política de
gestão da informação.
Isto se dá porque apenas um dado não é capaz de ser atrelado a um indivíduo, devendo
esse dado ser ordenado com outros, para que haja a criação de uma informação que possa
identificar uma pessoa natural, enquadrando-se no conceito de dados pessoais apresentado
pela LGPD.
Além disso, é necessário realizar a diferenciação entre os conceitos de segurança da
informação e segurança cibernética. O conceito de segurança da informação é a proteção da
confidencialidade, integridade, disponibilidade, utilidade, controle e autenticidade das
informações, com o objetivo da proteção da base de dados frente a inúmeras ameaças47.
Para melhor entendimento do conceito, imperioso perpassar pelos princípios
fundamentais da segurança e os demais elementos relevantes. Em relação aos princípios
fundamentais, explica Kees Hintzbergen que são 3: disponibilidade, integridade e
confidencialidade:
46
BARBIERI, Carlos. Governança de dados: práticas, conceitos e novos caminhos. Rio de Janeiro: Alta
Books, 2019.p.16.
47
HINTZBERGEN, Jule; HINTZBERGEN, Kees; BAASR, Hans; SMULDERS, André. Foundations of
Information Security: based on ISO 27001 and 27002. 3. ed. revisada. Série “Best Practices”. Tradução de
Alan de Sá. Den Bosch: Van Haren Publishing, 2015.
27
Um programa de segurança pode ter diversos objetivos, grandes e pequenos, mas os

princípios mais importantes em todos os programas de segurança são a
confidencialidade (exclusividade), integridade e disponibilidade. Estes são referidos
como o triângulo CIA48.
Ainda conforme o autor, o triangulo CIA, ao qual faz referência, pode ser representado
pelo seguinte esquema:
A confidencialidade, também conhecida como exclusividade, trata de quem pode ter

acesso aos dados. Em caso de uma empresa, por exemplo, é do melhor interesse dos seus
sócios ou acionistas que a concorrente não obtenha acesso aos seus dados estratégicos, ao
passo que as pessoas naturais se preocupam com o acesso não autorizado às suas informações
pessoais.
No que tange à confidencialidade, as normas ISO 27001 preveem uma série de normas
de gestão para garantir o respeito à exclusividade, como, por exemplo: limitar o acesso dentro
da empresa aos dados, de forma que cada funcionário tenha acesso apenas aos dados
necessários para o exercício de suas funções e não a todos os dados da empresa. Outra técnica
prevista é a de criptografar o banco de dados, de forma que, mesmo que haja um vazamento, o
invasor não teria acesso às informações, uma vez que elas estariam todas criptografadas.
O princípio da integridade da informação, por sua vez, garante que os dados estejam
corretos e consistentes com a informação real. Qualquer alteração não autorizada na
48
HINTZBERGEN, Jule; HINTZBERGEN, Kees; BAASR, Hans; SMULDERS, André. Foundations of
Information Security: based on ISO 27001 and 27002. 3. ed. revisada. Série “Best Practices”. Tradução de
Alan de Sá. Den Bosch: Van Haren Publishing, 2015.p.46.
28
informação viola a integridade. Com esse princípio, pretende-se evitar que haja informações
incorretas e imprecisas, que podem ser geradas por um erro de preenchimento humano, por
corrompimento de algum elemento eletrônico ou por uma invasão.
Neste sentido, Donn Parker leciona:
Minha definição para integridade da informação vem dos dicionários. Integridade

significa que a informação é completa, perfeita e intacta (não necessariamente
correta). Significa que nada está faltando na informação, ela está completa e em um
desejado bom estado49
Seguindo as normas ISO, algumas medidas que garantem a integridade da informação

são: (i) haver um sistema de controle que dependa de dois ou mais usuário para alterar uma
informação, de forma que um deles faça a alteração e o outro realize uma revisão; (ii) registrar
todas as alterações que certo usuário realiza no banco de dados, (iii) adotar sistemas de
segurança que impeça a implantação de um vírus por um invasor e (iv) criação de uma
política de gestão na qual as mudanças vitais em um sistema são sempre realizadas por dois
ou mais usuários.
Por fim, completando o triângulo CIA, há a disponibilidade, que é caracterizada pela
informação estar disponível quando necessária, pela possibilidade de os usuários continuarem
utilizando as informações em caso de falha e pela robustez do sistema, que deve ter
capacidade para que todos os usuários possam utilizar a plataforma simultaneamente.
Assim, qualquer atraso que afete o tempo estimado para acesso a certas informações
pode ser considerado uma falha de disponibilidade. Algumas medidas, em conformidade com
as normas ISO, que são utilizadas para garantir a disponibilidade são: o armazenamento dos
dados em redes e não em um disco rígido, a minimização do risco de perda e realização de
backup das informações.
Resumindo os princípios do triângulo CIA, Edison Fontes apresenta uma abordagem
direta sobre o tema:
A informação é um bem da organização e como tal deve ser gerenciado, protegido,

possuir regras e políticas de utilização. Na medida em que a informação está
armazenada no ambiente computacional, ela é cada vez mais necessária para a
realização e lucro dos negócios. Um processo de segurança da informação na
organização deve ter como objetivos: disponibilidade da informação – a informação
deve estar acessível para o funcionamento da empresa e a realização do negócio;
integridade da informação – a informação deve estar correta, ser verdadeira e não
49
PARKER, Donn. Política de Segurança e inventário e ativos de informação. Indaial: Uniasselvi, 2020.p.43.
29
estar corrompida; confidencialidade da informação – a informação deve ser acessada

e utilizada exclusivamente pelos usuários autorizados50
Em complemento ao triângulo CIA, Donn B. Parker criou a teoria do Hexagrama

Parkeriano, que adiciona mais 3 princípios básicos para a segurança da informação: controle,
autenticidade e utilidade.
O controle é definido pelo autor como a posse e controle dos dados. Portanto, quem
possui o controle poderá utilizar as informações em questão, sendo possível haver a perda de
controle sem que haja a quebra de sigilo (confidencialidade). Um exemplo disso são os dados
armazenados na memória de um computador que possui uma senha para acesso. Caso o
computador em questão seja furtado, o titular haverá perdido a posse e controle dos dados,
mas sem que haja a quebra da confidencialidade, tendo em vista a impossibilidade de acesso
aos dados por quem praticou o furto.
Por sua vez, a autenticidade diz respeito à veracidade de origem e autoria da
informação. Nos casos de documentos físicos, essa veracidade pode ser reconhecida, por
exemplo, por meio de uma assinatura e rubrica, tal qual é realizado em contratos. No que
tange aos meios digitais, são utilizados processos de verificação criptografados, como os
tokens utilizados pelos advogados para assinar petições.
A utilidade, por fim, refere-se à capacidade de uso dos dados. Para que os dados sejam
úteis, eles devem estar armazenados no formato de arquivo correto e as informações devem
estar organizadas de forma que possam ser interpretadas e utilizadas. A quebra de utilidade
pode ser tanto pela incapacidade de leitura dos dados, quanto por estar a informação em
desconformidade com os padrões necessários para o usuário, como, por exemplo, em língua
estrangeira.
Portanto, qualquer violação da segurança da informação pode ser descrita como aquilo
que afeta um ou mais desses princípios fundamentais da segurança da informação
(confidencialidade, integridade, disponibilidade, autenticidade, utilidade e controle). Assim,
como veremos a seguir, os incidentes de segurança e suas espécies estão diretamente ligados a
esses conceitos.
Com base no exposto, conclui-se que a segurança da informação é ampla, sendo
aplicada, tanto para os meios físicos de tratamento de dados, quanto para os eletrônicos.
50
FONTES, Edison. Vivendo a segurança da informação: orientações práticas para pessoas e organizações.
São Paulo: Sicurezza, 2000. p. 21.
30
Assim, essa é a diferença entre a segurança da informação e a segurança cibernética, uma vez
que a segurança cibernética visa a proteção exclusivamente das informações digitais.
O conceito de segurança cibernética não é uniforme, uma vez que não há um consenso
universal acerca do tema, tendo certas diferenciações entre a definição adotada por cada
instituição. A UIT/ITU (União Internacional das Comunicações) um órgão da Organização da
Nações Unidas (ONU), define segurança cibernética como:
A coleção de ferramentas, políticas, conceitos de segurança, salvaguardas de

segurança, orientações, abordagens de gestão de risco, ações, treinamentos,
melhores práticas, seguros e tecnologias que podem ser usados para proteger o
ambiente cibernético, a organização e propriedades de usuários(as). A organização e
as propriedades incluem dispositivos de computação conectados, funcionários(as) e
colaboradores(as), infraestrutura, aplicativos, serviços, sistemas de
telecomunicações e a totalidade de informação transmitida e/ou armazenada no
ambiente cibernético. A segurança cibernética busca garantir a obtenção e a
manutenção das propriedades de segurança da organização e das propriedades do(as)
usuários(as) contra riscos de segurança relevantes no ambiente cibernético51
Por sua vez, a União Europeia adota uma conceituação ligeiramente diferente,
definindo a segurança cibernética como:
Salvaguardas e ações que se podem empregar para proteger o domínio cibernético,

tanto no âmbito civil quanto militar, frente às ameaças vinculadas com suas redes
interdependentes e sua infraestrutura de informação, ou que possam afetar a estas 52
No que tange ao Brasil, o Gabinete de Segurança Institucional da Presidência da

República (GSI/PR) define a segurança cibernética como: “A arte de assegurar a existência e
a continuidade da Sociedade da Informação de uma Nação, garantindo e protegendo, no
Espaço Cibernético, seus ativos de informação e suas infraestruturas críticas”53.
Apesar da inexistência de um consenso acerca do conceito da segurança cibernética,
observa-se que há um elemento nuclear em comum em todas as definições apresentadas: a
51
INTERNATIONAL COMMUNICATIONS UNION. Series X: Data Networks, Open System
Communications and Security - Telecommunication Security - Overview of cybersecurity
(Recommendation ITU-T X.1205). Telecommunication Standardization Sector of ITU (ITU-T), Genebra, abril
2008.Disponível em: <http://www.itu.int/ITU-T/recommendations/rec.aspx?rec=9136&lang=en>. Acesso em:
22 jan. 2022.
52
EUROPEAN COMISSION. Cybersecurity Strategy of the European Union: An Open, Safe and Secure
Cyberspace. High Representative of the European Union for Foreign Affairs and Security Policy, Bruxelas, 7
fevereiro 2013. Disponível em: <http://ec.europa.eu/newsroom/dae/document.cfm?doc_id=1667>. Acesso em:
22 jan. 2022.
53
BRASIL, Presidência da República. Estratégia de Segurança da Informação e Comunicações e de
Segurança Cibernética da Administração Pública Federal. Gabinete de Segurança Institucional,
Departamento de Segurança da Informação e Comunicações, março 2015. Disponível em:
<http://dsic.planalto.gov.br/documentos/publicacoes/4_Estrategia_de_SIC.pdf>. Acesso em: 22 jan. 2022.
31
proteção da informação no ambiente cibernético. Assim, pode se concluir que a segurança

cibernética está contida na segurança da informação, tendo em vista que a SI visa a proteção
das informações em geral e a SC se refere expressamente às informações digitais.
A segurança cibernética tem grande relevância para o atual momento da economia,
uma vez que a Big Data justamente explora os dados digitais, o que necessita da criação e
manutenção de inúmeros bancos de dados. Como será abordado a seguir, a maioria dos
incidentes de segurança tem como objeto as informações digitais, o que evidencia a
importância da segurança cibernética.
7. CONCEITO DE INCIDENTE DE SEGURANÇA
Uma vez esclarecidos os conceitos da segurança da informação, é necessário abordar a

definição de incidente de segurança e, posteriormente, as regras inseridas na Lei Geral de
Proteção de Dados.
Em relação aos incidentes de segurança, a legislação brasileira optou por não se
inspirar no regulamento europeu, tendo em vista que o GDPR prevê expressamente um
conceito para o tema, que foi inserido no artigo 4º item 12 do diploma legal: “uma violação da
segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a
divulgação ou o acesso, não autorizados, a dados pessoais transmitidos, conservados ou
sujeitos a qualquer outro tipo de tratamento”54.
No que tange à definição utilizada pelo ordenamento europeu, é possível averiguar que
há expressa associação ao triângulo CIA da informação, de forma que o conceito abarca os
incidentes que afetem a confidencialidade, a integralidade e a disponibilidade. Neste sentido,
o próprio Grupo de Trabalho do Artigo 29 para Proteção de Dados (GT29), que é formado por
autoridades de toda a Europa, emitiu opinião contida na WP250 expondo justamente que o
conceito de incidente de segurança previsto no GDPR tem relação direta com os princípios da
segurança da informação:
No seu Parecer 03/2014, relativo à notificação de violação, o GT29 explicou que as

violações podem ser categorizadas de acordo com os três princípios bem conhecidos
de segurança da informação que se seguem:
• «Violação da confidencialidade» - quando existe uma divulgação ou acesso
acidental ou não autorizado a dados pessoais.
• «Violação da integridade» - quando existe uma alteração acidental ou não
autorizada dos dados pessoais.
54
Disponível em https://www.privacy-regulation.eu/pt/4.htm. Acesso em: 7 set. 2021.
32
• «Violação da disponibilidade» - quando existe uma perda de acesso ou a destruição

acidental ou não autorizada15 de dados pessoais.
Importa igualmente notar que, dependendo das circunstâncias, uma violação pode
dizer respeito à confidencialidade, à integridade e à disponibilidade de dados
pessoais simultaneamente, assim como a qualquer combinação destas55.
Dessa forma, conclui-se que a legislação europeia optou por classificar os incidentes
de segurança em três espécies, conforme expõe Carlos Affonso Pereira de Souza:
O Grupo de Trabalho do Artigo 29, que reuniu as autoridades de proteção de dados

pessoais dos países membros da União Europeia, produziu uma série de
recomendações sobre como aplicar os dispositivos da legislação europeia sobre
proteção de dados. No que se refere especialmente ao tema dos incidentes de
segurança, o grupo dividiu os incidentes em três categorias: (i) incidente de
confidencialidade: quando há acesso e/ou divulgação não autorizada de dados
pessoais; (ii) incidente de integridade: quando há alteração não autorizada de dados
pessoais; e (iii) incidente de disponibilidade: quando há perda de acesso ou
destruição de dados pessoais56
Em relação à legislação brasileira, não houve a inclusão de definição expressa do que

seria um incidente de segurança, sendo a lei omissa sobre o tema. Parte da doutrina adota um
conceito que pode ser extraído do próprio artigo 46 da LGPD, conforme expõe Souza:
À luz da Lei Geral de Proteção de Dados (art. 46), o termo “incidente de segurança”
pode ser definido como a violação das medidas adotadas pelos agentes de tratamento
para salvaguardar a integridade e o sigilo dos dados pessoais sob sua administração,
resultando em acessos não autorizados e em situações acidentais ou ilícitas de
destruição, perda, alteração, comunicação ou qualquer forma de tratamento
inadequado ou ilícito57.
Pela análise do conceito apresentado, observa-se que há uma similaridade com a

definição adotada pelo GDPR, trazendo as mesmas 3 espécies de incidentes de segurança.
Contudo, o legislador brasileiro incluiu essas espécies a título exemplificativo, tendo em vista
que deixa o rol aberto ao falar de outras formas de tratamento inadequado ou ilícito.
Além dessa conceituação apresentada pela doutrina, a Autoridade Nacional de
Proteção de Dados (ANPD), exercendo suas funções atribuídas pelo §1º do artigo 46 da
55
EUROPEAN COMMISSION. Article 29 Working Party. Guidelines on Personal data breach notification
under Regulation 2016/679, 20 ago. 2018. Disponível em: ttps://ec.europa.eu/newsroom/
article29/items/612052. Acesso em: 10 jan. 2022.
56
SOUZA, Carlos Affonso em TEPEDINO, Gustavo; FRAZÃO, Ana; OLIVA, Milena Donato (Coord.). Lei
Geral de Proteção de Dados Pessoais e Suas Repercussões no Direito Brasileiro. São Paulo: Thomson
Reuters Brasil, 2019. p.247
57
SOUZA, Carlos Affonso em TEPEDINO, Gustavo; FRAZÃO, Ana; OLIVA, Milena Donato (Coord.). Lei
Geral de Proteção de Dados Pessoais e Suas Repercussões no Direito Brasileiro. São Paulo: Thomson
Reuters Brasil, 2019. p.251.
33
LGPD, editou um guia procedimental para a comunicação de incidentes de segurança, no qual

apresenta a seguinte definição para o incidente de segurança:
Um incidente de segurança com dados pessoais é qualquer evento adverso

confirmado, relacionado à violação na segurança de dados pessoais, tais como
acesso não autorizado, acidental ou ilícito que resulte na destruição, perda, alteração,
vazamento ou ainda, qualquer forma de tratamento de dados inadequada ou ilícita,
os quais possam ocasionar risco para os direitos e liberdades do titular dos dados
pessoais58.
Observa-se que o conceito apresentado pela ANPD possui um nível de detalhamento

superior ao que o presente no GDPR, ao passo que seguiu a lógica da LGPD, ao prever
expressamente que as espécies de incidentes listadas são exemplificativas.
No que tange à similaridade da LGPD com o GDPR, constata-se que, tanto a definição
europeia quanto a brasileira fazem menção expressa a 3 espécies de incidentes de segurança:
os de disponibilidade, os de confidencialidade e os de integridade. Contudo, destaca-se que a
legislação brasileira, ao deixar de definir um conceito para o incidente de segurança na
própria lei, gerou insegurança jurídica devido à nebulosidade em torno da definição do que
seria um incidente de segurança.
Para melhor compressão do conceito ora abordado, cabe ser realizada uma
exemplificação das suas espécies. O tema é de suma relevância, tanto que levou o Comité
Europeu para a Proteção de Dados (EDPB) a emitir uma opinião complementar à exarada
pelo Grupo de Trabalho do Artigo 29 em 2017, exemplificando a ocorrência de um incidente
de segurança de cada uma das espécies.
Os incidentes de segurança que violam a disponibilidade da informação são aqueles
em que há perda de dados, devido a fatores internos ou externos, de forma que as informações
não estão mais disponíveis para uso. Exemplificando essa espécie de incidente, podemos citar
o ataque sofrido pelo Ministério da Saúde59, no qual o governo perdeu os dados relativos à
vacinação dos brasileiros contra a Covid-19. O incidente ocorreu no dia 10 de dezembro de
2021 e, segundo o próprio grupo que realizou a invasão ao sistema do Ministério da Saúde,
foram excluídos mais de 50 terabytes de dados. Devido à invasão realizada, todos os sistemas
58
AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS. Comunicação de incidentes de segurança, 22
fev. 2021. Disponível em: https://www.gov.br/anpd/pt-br/assuntos/incidente-de-seguranca. Acessado em 10 jan.
2022.
59 ANDRADE, Henrique. Site do Ministério da Saúde sofre ataque hacker durante madrugada e sai do ar. CNN
Brasil. Disponível em: https://www.cnnbrasil.com.br/nacional/site-do-ministerio-da-saude-sofre-ataque-hacker-
durante-madrugada-e-sai-do-ar/. Acesso em 19 dez. 2021
34
do governo relacionados à vacinação foram paralisados. Esse tipo de ataque é denominado

ransomware60 e é caracterizado pela paralização de um sistema com o objetivo de requerer
um valor para resgate dessas informações.
O maior caso de ataque ransomware aconteceu em maio de 201761, envolvendo o
sistema operacional Windows. O ataque foi inicialmente reportado pelo sistema de saúde da
Inglaterra, mas estima-se que foram afetados mais de 200 mil usuários em 150 países. O
objetivo dos invasores era cobrar um valor a título de resgate das informações afetadas.
Felizmente, 2 dias após o ataque, um jovem de 22 anos conseguiu solucionar o problema de
maneira acidental, ao registrar o domínio do endereço eletrônico usado pelos sequestradores
de dados.
Os incidentes de confidencialidade ocorrem quando há acesso não autorizado às
informações armazenadas, podendo causar inúmeros prejuízos à empresa que possui os dados
e aos titulares62. Como exemplos de incidentes de confidencialidade, podemos citar o
vazamento que ocorreu em maio de 2018 com o Banco Inter S.A 63. A estimativa é que houve
o vazamento dos dados de 19.961 correntistas, sendo que, desses dados, 13.207 continham
informações bancárias. Esses dados foram postados na rede mundial de computadores, e o
Banco Inter realizou um acordo com o Ministério Público no valor de R$1.500.000,00 como
reparação aos lesados.
Outro exemplo de vazamento de dados ocorreu em dezembro de 2021, envolveu o
Banco Central do Brasil. O próprio Banco Central emitiu comunicado informando que foram
60
Segundo EDPB: “A frequent cause for a data breach notification is a ransomware attack suffered by the data
controller. In these cases a malicious code encrypts the personal data, and subsequently the attacker asks the
controller for a ransom in exchange for the decryption code. This kind of attack can usually be classified as a
breach of availability, but often also a breach of confidentiality could occur.” EUROPEAN DATA
PROTECTION BOARD. Guidelines 01/2021 on Examples regarding Personal Data Breach Notification, 3
jan. 2022. Disponível em: https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-012021-
examples-regarding-personal-data-breach_en Acesso em: 10 jan. 2022
61
JORNAL NACIONAL. Ataque hacker atingiu computadores em quase 100 países na sexta. G1. Disponível
em: https://g1.globo.com/jornal-nacional/noticia/2017/05/ataque-hacker-atingiu-computadores-em-quase-100-
paises-na-sexta.html. Acesso em 22 jan. 2022.
62
Segundo EDPB: “Attacks that exploit vulnerabilities in services offered by the controller to third parties over
the internet, e.g. committed by way of injection attacks (e.g. SQL injection, path traversal), website
compromising and similar methods, may resemble ransomware attacks in that the risk emanates from the action
of an unauthorized third party, but those attacks typically aim at copying, exfiltrating and abusing personal data
for some malicious end. Hence, they are mainly breaches of confidentiality and, possibly, also data integrity. At
the same time, if the controller is aware of the characteristics of this kind of breaches, there are many measures
available to controllers that can substantially reduce the risk of a successful execution of an attack.” Guidelines
01/2021 on Examples regarding Personal Data Breach Notification, 3 jan. 2022. Disponível em:
https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-012021-examples-regarding-
personal-data-breach_en Acesso em: 10 jan. 2022
63
LIMA, Maurício. Banco Inter vai pagar R$ 1,5 milhão por vazamento de dados de clientes. Veja. Disponível
em: https://veja.abril.com.br/economia/banco-inter-vai-pagar-r-15-milhao-por-vazamento-de-dados-de-clientes/.
Acesso em: 20 jan. 2022.
35
vazados dados de 160.100 chaves PIX64 (meio de pagamento adotado pelo Brasil) contendo
informações pessoais dos titulares.
Em relação aos incidentes de integridade, conforme explicado anteriormente, ocorre
alteração não autorizada dos dados. A alteração de dados pode ocorrer internamente, por meio
de usuário que tem acesso ao sistema65, ou externamente, por meio de um ataque. Um caso de
incidente de integridade que foi amplamente noticiado envolveu a empresa de entregas
Ifood66. Em 02/11/2021 os nomes de alguns restaurantes foram alterados para declarações
políticas, modificando as informações que constavam no site e no aplicativo. O próprio Ifood
se manifestou esclarecendo que o incidente ocorreu devido a um funcionário que detinha
acesso ao sistema.
Outro exemplo de incidente de integridade de dados também foi novamente
protagonizado pelo Ministério da Saúde67. Os dados sobre aplicação das doses da vacina
contra a Covid-19 no aplicativo ConecteSUS foram alterados, de forma que alguns usuários,
mesmo já tendo tomado as duas doses da vacina, ficaram impossibilitados de emitir o
certificado de conclusão do esquema vacinal, documento obrigatório para certos eventos
públicos. Neste caso, constata-se a perda parcial de informações, resultando em uma
incompletude, o que viola a integridade da informação.
Realizada essa contextualização acerca do conceito de incidente de segurança e das
suas espécies, é relevante analisar as normas previstas na LGPD para prevenir a ocorrência
desses incidentes e, mesmo quando não for possível evitar, que sejam minimizados os dados.
64
LEAL, Aline. Banco Central comunica vazamento de dados de 160,1 mil chaves Pix. Agência Brasil.
Disponível em: https://agenciabrasil.ebc.com.br/economia/noticia/2022-01/bc-comunica-vazamento-de-dados-
de-1601-mil-chaves-pix. Acesso em: 25 jan. 2022.
65
Esses incidentes são considerados de risco humano e definidos pela EDPB como: “The role of human error in
personal data breaches has to be highlighted, due to its common appearance. Since these types of breaches can
be both intentional and unintentional, it is very hard for the data controllers to identify the vulnerabilities and
adopt measures to avoid them. The International Conference of Data Protection and Privacy Commissioners
recognized the importance of addressing such human factors and adopted the resolution to address the role of
human error in personal data breaches in October 2019 . This resolution stresses that appropriate safeguarding
measures should be taken to prevent human errors and provides a non-exhaustive list of such safeguards and
approaches.” EUROPEAN DATA PROTECTION BOARD. Guidelines 01/2021 on Examples regarding
Personal Data Breach Notification, 3 jan. 2022. Disponível em: https://edpb.europa.eu/our-work-tools/our-
documents/guidelines/guidelines-012021-examples-regarding-personal-data-breach_en Acesso em: 10 jan.
2022.”
66
MOGNON, Mateus. iFood confirma que ataque foi realizado por funcionário. TecMundo, 03 nov. 2021.
Disponível em: https://www.tecmundo.com.br/seguranca/227997-ifood-confirma-ataque-realizado-
funcionario.htm?f. Acesso em: 10 jan. 2022
67
MOGNON, Mateus. iFood confirma que ataque foi realizado por funcionário. TecMundo, 03 nov. 2021.
Disponível em: https://www.tecmundo.com.br/seguranca/227997-ifood-confirma-ataque-realizado-
funcionario.htm?f. Acesso em: 10 jan. 2022
36
8. DISPOSIÇÕES ACERCA DO INCIDENTE DE SEGURANÇA NA LGPD
As disposições acerca dos incidentes de segurança na LGPD estão previstas no

Capítulo VII, Seção I, compreendendo os artigos 46 a 49 da referida lei.
8.1 Artigo 46 da LGPD
O artigo 46, caput, da Lei Geral de Proteção de Dados prevê uma norma que confere
um dever aos agentes de tratamento de dados, quais sejam: o controlador (aquele a quem
compete as decisões referentes ao tratamento de dados pessoais) e o operador (aquele que
realiza o tratamento de dados pessoais em nome do controlador), conforme previsto no art. 5°,
incs. VI, VII e IX da LGPD.
A norma cria uma obrigação que, caso violada, deve gerar sanções e
responsabilização, conforme lecionam Márcio Cots e Ricardo Oliveira: “Inicialmente, vale
notar que o verbo ‘devem’ é impositivo da lei, ou seja, não se trata de faculdade: é uma
obrigação legal que, se não cumprida, poderá ensejar a aplicação de sanções administrativas e
responsabilidade civil”68.
Em relação ao referido dispositivo, a legislação europeia possui previsão semelhante
no artigo 25 do GDPR, estabelecendo que o responsável pelo tratamento de dados deve adotar
medidas técnicas de gestão das informações, porém de forma mais rigorosa, conforme
explana Rony Vainzof:
Assim, por expressa previsão legal, o controller e o processor, de acordo com as

técnicas mais avançadas, os custos de aplicação e a natureza, o âmbito, o contexto e
as finalidades do tratamento, bem como os riscos, de probabilidade e gravidade
variável para os titulares, aplicarão medidas técnicas e organizativas para assegurar
um nível de segurança adequada ao risco, incluindo: a pseudoanonimização e a
encriptação dos dados pessoais; a capacidade de assegurar a confidencialidade,
integridade e resiliência permanentes dos sistemas e dos serviços de tratamento; a
capacidade de restabelecer a disponibilidade e o acesso aos dados pessoais em
tempo hábil no caso de um incidente físico ou técnico; procedimentos para testar e
avaliar regularmente a eficácia das medidas técnicas e organizativas para garantir a
segurança do tratamento69
68
COTS, Márcio; OLIVEIRA, Ricardo. Lei Geral de Proteção de Dados Pessoais comentada. São Paulo:
Thomson Reuters Brasil, 2018. p. 238
69
VAINZOF, Rony. Dados pessoais, tratamento e princípios. In: MALDONADO, Viviane Nóbrega e BLUM,
Renato Opice (Coord.). LGPD: Lei Geral de Proteção de Dados Comentada. 2. ed. São Paulo: Thomson Reuters
Brasil, 2020. p. 67.
37
Verifica-se que o legislador optou por conferir o dever aos agentes de tratamento de
dados de adotar medidas multidisciplinares, que envolvem as áreas de conhecimento da
administração, recursos humanos, tecnologia e outras. O §1º do artigo 46 da LGPD autoriza a
ANPD a definir parâmetros técnicos mínimos para tornar possível a aplicação do caput do
artigo, observando os princípios previstos no artigo 6º da mesma lei.
Em relação a esse ponto, é necessário destacar que a Autoridade Nacional de Proteção
de Dados é o órgão responsável por zelar, implementar e fiscalizar o cumprimento da LGPD,
conforme previsto no artigo 5º, XIX, da Lei Geral de Proteção de Dados. O GDPR também
institui um órgão responsável por assegurar a aplicação da norma, o Comitê Europeu para
Proteção de Dados, que possui previsão legal nos artigos 68 e seguintes do GDPR.
Além disso, destaca-se que o artigo 46, §1º, da LGPD optou por prever que a ANPD
criará normas sobre os requisitos mínimos para a proteção da informação, entendendo-se,
assim, que não pode ser exigida a adoção de medidas de segurança de alta complexidade e
custo, tendo em vista que seria economicamente inviável. Ainda, a Autoridade Nacional não
possui liberdade plena para exercer a competência deferida pela lei, tendo em vista que deverá
considerar: a natureza das informações tratadas, as características específicas do tratamento, o
estado atual da tecnologia e os princípios previstos no caput do artigo 6º da mesma lei.
Sobre os elementos que devem ser considerados pela ANPD, oportunas algumas
considerações. Primeiramente, no que tange à previsão de que deverá ser considerada a
natureza das informações, chama-se atenção pela escolha acertada do legislador em inserir o
termo “informações” e não “dados” na referida norma, tendo em vista a diferenciação
mencionada no capítulo anterior.
Ademais, destaca-se que a lei não foi categórica ao definir quais seriam as medidas
mínimas para garantir a segurança da informação, optando por delegar esse papel à ANPD e
determinando que essa função será exercida observando o estado atual da tecnologia. Tal
previsão é imprescindível para a LGPD, tendo em vista que, se a lei optasse por incluir no
texto expressamente as medidas mínimas para garantir a SI, rapidamente o diploma legal se
tornaria obsoleto, tendo em vista as inúmeras inovações tecnológicas que certamente
acontecerão em um futuro próximo e acabariam por tornar a lei defasada. Essa foi uma das
soluções encontradas pela legislação para o desafio de regular as novas tecnologias.
Por fim, destaca-se que o §1º do artigo 46 da LGPD definiu que a ANPD deve exercer
sua função observando os princípios do caput do artigo 6º. O art. 6º começa enunciando o
princípio da boa-fé, estando os demais princípios previstos nos seus diversos incisos, quais
38
sejam: finalidade (inc. I), adequação (inc. II), necessidade (inc. III), livre acesso (inc. IV),
qualidade dos dados (inc. V), transparência (inc. VI), segurança (inc. VII), prevenção (inc.
VIII), não discriminação (inc. IX) e responsabilização e prestação de contas (inc. X).
Realizando a comparação dessa norma com a legislação europeia, observa-se que o
GDPR possui limitações semelhantes, principalmente relacionadas ao custo de
implementação das tecnologias para evitar a ocorrência de um incidente de segurança.
Contudo, no regulamente europeu se optou por definir que as empresas devem se valer de
todas as tecnologias no mercado para identificar a ocorrência de um incidente, com o fito de
dar celeridade a notificação que deve ser enviada, como pontua o Grupo de Trabalho do
Artigo 29:
Um dos requisitos do RGPD é que, através da adoção de medidas técnicas e

organizativas adequadas, os dados pessoais sejam tratados, por forma a assegurar a
segurança adequada dos dados pessoais, incluindo a proteção contra o seu
tratamento não autorizado ou ilícito e contra a sua perda, destruição ou danificação
acidental10. Por conseguinte, o RGPD exige que tanto os responsáveis pelo
tratamento como os subcontratantes apliquem medidas técnicas e organizativas
adequadas para assegurar um nível de segurança adequado ao risco imposto aos
dados pessoais que estão a ser tratados. Devem ter em conta as técnicas mais
avançadas, os custos da sua aplicação e a natureza, o âmbito, o contexto e as
finalidades do tratamento dos dados, bem como o risco decorrente do tratamento,
cuja probabilidade e gravidade podem ser variáveis, para os direitos e liberdades das
pessoas singulares. Além disso, o RGPD exige que sejam adotadas todas as medidas
tecnológicas de proteção e de organização adequadas para apurar imediatamente a
ocorrência de uma violação, o que determina se está envolvida a obrigação de
notificação70.
Finalizando a análise do artigo 46 da LGPD, destaca-se que o §2º determina que as

normas presentes no caput devem ser observadas desde a concepção do produto ou serviço até
a sua execução. Esse conceito é chamado de privacy by design, que, na concepção de Bruno
Bioni, é: “a ideia de que a proteção de dados pessoais deve orientar a concepção de um
produto ou serviços, devendo eles ser embarcados com tecnologias que facilitem o controle e
a proteção das informações pessoais71”.
O termo privacy by design foi idealizado por Ann Cavoukian, em meados dos anos
1990. A percepção da autora foi de que apenas uma legislação de dados não seria suficiente
para conferir segurança à informação, devendo essa ser uma preocupação do desenvolvedor
70
under Regulation 2016/679, 20 ago. 2018. Disponível em: https://ec.europa.eu/newsroom/article29
/items/612052. Acesso em: 10 jan. 2022.
71
BIONI, Bruno Ricardo. Proteção de dados pessoais: a função e os limites do consentimento. Rio de Janeiro:
Forense, 2019. p.176
39
de produto ou serviço desde as fases de idealização. Essa é exatamente a ideia contida no §2º
do artigo 46 da Lei Geral de Proteção de Dados, conforme Camilla do Vale Jimene esclarece:
Tal dispositivo legal reflete o conceito privacy by design, expressão atribuída a

Ann Cavoukian – Comissária de Informação e Privacidade de Ontario, Canadá,
entre os anos de 1997 e 2014 – que a idealizou em meados da década de 1990,
motivada pela convicção de que o avanço das tecnologias cada vez mais
interconectadas permitiriam a coleta ilimitada de dados pessoais e que apenas a
existência de leis não seria o suficiente para garantir a privacidade do usuário,
sendo necessário encorajar as empresas que concebessem produtos e serviços a
partir dessa metodologia, incorporando a privacidade em todos os seus projetos de
tecnologia.
O termo privacy by design refere-se, portanto, à metodologia que visa proteger a
privacidade do usuário desde a concepção de quaisquer sistemas de tecnologia da
informação ou de práticas de negócio que sejam concernentes ao ser humano.
Assim, a proteção da privacidade seria o ponto de partida para o desenvolvimento
de qualquer projeto, sendo incorporada à própria arquitetura técnica dos produtos
ou serviços.72
Segundo Ann Cavoukian, a metodologia possui 7 princípios: (i) proatividade e

prevenção; (ii) privacidade por padrão73; (iii) privacidade incorporada ao design; (iv)
funcionalidade integral; (v) segurança em todo o ciclo de vida da informação; (vi)
transparência e (vii) respeito à privacidade do usuário.
Tais princípios foram amplamente adotados, de forma que a Diretiva 95/46 da União
Europeia sobre a proteção de dados pessoais mencionou o assunto em seu Considerando 46 e,
em 2016, o GDPR estabeleceu tais conceitos como pressupostos para a proteção de direitos e
liberdades do indivíduo em seu Considerando 78 e em seu artigo 25. Mais uma vez se observa
que a legislação brasileira se inspirou nas normas da Europa para criação do presente artigo,
adotando a concepção de privacy by desigi, porém, de forma menos explicita.
O artigo 47 da Lei Geral de Proteção de Dados determina que são obrigados a garantir
a segurança da informação os agentes de proteção de dados e qualquer pessoa que intervenha
em uma das fases do tratamento de dados, até o seu término.
72
JIMENE, Camilla do Vale em MALDONADO, Viviane; BLUM, Renato. Comentários ao GDPR. São Paulo:
Thomson Reuters Brasil, 2021.p.379.
73
CAVOUKIAN, Ann. Privacy by Design The 7 Foundational Principles. Disponível em: www.ipc.on.ca/wp-
content/uploads/Resources/7foundationalprinciples.pdf. Acesso em: 23 jan. 2022.
40
Em relação a esse dispositivo, destaca-se que a LGPD não apresentou um conceito

para segurança da informação, adotando-se para os fins deste trabalho a definição exposta em
capítulo anterior. Por meio da interpretação conjunta dos artigos 46 e 47 da Lei Geral de
Proteção de Dados, conclui-se que os obrigados a garantir a segurança da informação devem
adotar técnicas de gestão de informações que possuem relações com diversos campos do
conhecimento.
Neste sentido, uns dos norteadores são as normas ISO/IEC. As organizações ISO
(International Organization for Standardization) e IEC (International Electrotechnical
Commission) são formadas por especialistas de vários países e objetivam criar e gerenciar
normas técnicas internacionais de boas práticas de gestão. Essas normas são, posteriormente,
publicadas no Brasil pela ABNT (Associação Brasileira de Normas Técnicas).
Em 2013, foi editada a ISO/IEC 27002:2013, prevendo uma série de normas de boas
práticas para controle de segurança da informação. Segundo a norma técnica ABNT NBR
ISO/IEC 27002:
A segurança da informação é alcançada pela implementação de um conjunto
adequado de controles, incluindo políticas, processos, procedimentos, estrutura
organizacional e funções de software e hardware. Estes controles precisam ser
estabelecidos, implementados, monitorados, analisados criticamente e melhorados,
quando necessário, para assegurar que os objetivos do negócio e a segurança da
informação da organização sejam atendidos74.
Posteriormente, em agosto de 2019, foi publicada a norma técnica ISO/IEC

27701:2019, em complemento à ISO/IEC 27002:2013, dado que abrange especificamente um
Sistema de Gerenciamento de Informações relacionadas à Privacidade (Privacy Information
Management System), conforme destaca a introdução da norma:
Quase toda organização processa Informações de Identificação Pessoal (IIP). Além

disso, a quantidade e os tipos de IIP processadas está aumentando, assim como o
número de situações nas quais uma organização precisa cooperar com outras
organizações no processamento de IIP. A proteção da privacidade no contexto de
processamento de IIP é uma necessidade da sociedade, bem como é tópico dedicado
de legislação e/ou regulamentação em todo o mundo. (tradução livre).75
74
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 27002: Tecnologia da
Informação – Técnicas de Segurança – Código de prática para controles de segurança da informação. Rio de
Janeiro, 2013. Disponível em: https://www.normas.com.br/visualizar/abnt-nbr-nm/21529/abnt-nbriso-i ec27002-
tecnologia-da-informacao-tecnicas-de-seguranca-codigo-de-pratica-para-controles-d e-seguranca-da-informacao.
Acessado em 10 fev. 2022.
75
No texto original: “Almost every organization processes Personally Identifiable Information (PII). Further, the
quantity and types of PII processed is increasing, as is the number of situations where an organization needs to
cooperate with other organizations regarding the processing of PII. Protection of privacy in the context of the
processing of PII is a societal need, as well as the topic of dedicated legislation and/or regulation all over the
41
Assim, entende-se que o artigo 47 da LGPD determina que os agentes de proteção de

dados e demais envolvidos em etapas do tratamento devem adotar técnicas para garantir a
segurança da informação, tais como as ISO/IEC. Como se trata de uma obrigação, novamente
se vislumbra a possibilidade de aplicação de sanções e responsabilização caso não sejam
cumpridas.
Por fim, no que tange à duração dessa obrigação, o dispositivo ora analisado evidencia
que o dever não cessa com o término do tratamento dos dados que, segundo o artigo 15 da
LGPD, acontece nas seguintes hipóteses: quando a finalidade é alcançada (inc. I); quando os
dados deixaram de ser necessários ou pertinentes à finalidade (inc. I); fim do período de
tratamento (inc. II); revogação do consentimento (inc. III) e; determinação da ANPD (inc.
IV).
Tal previsão visa garantir a proteção efetiva das informações, tendo em vista que há a
possibilidade da ocorrência de um incidente de segurança também após o término do
tratamento. Assim, a obrigação perdura desde a coleta dos dados até a sua exclusão ou
destruição definitiva.
Realizando comparação com o regulamento europeu, observa-se que, ao invés de
conferir responsabilidade genérica a terceiro que intervenha no tratamento de dados, o GDPR
define que o responsável pelo tratamento dos dados dever ser indicado em relação contratual,
conforme expõe o GT29:
O artigo 26.º diz respeito aos responsáveis conjuntos pelo tratamento e especifica
que os responsáveis conjuntos devem determinar as respetivas responsabilidades
pelo cumprimento do RGPD. Tal inclui determinar que parte terá responsabilidade
pelo cumprimento das obrigações previstas nos artigos 33.º e 34.º. O GT29
recomenda que os acordos contratuais entre responsáveis conjuntos incluam
disposições que determinem que responsável pelo tratamento assumirá a liderança
ou será responsável pelo cumprimento das obrigações de notificação de violação do
RGPD76.
Por meio da definição em contrato de um responsável principal, a legislação garante

que aquele indicado agirá com mais diligência, tendo em vista que é diretamente vinculado
com as obrigações da lei. Contudo, apesar de indicar uma das partes como responsável, o
world”. (ISO/IEC 27701:2019: Security techniques – Extension to ISO/IEC 27001 and ISO/IEC 27002 for
privacy information management – Requirements and guidelines. Geneve, 2019, Introduction)
76
under Regulation 2016/679, 20 ago. 2018. Disponível em: https://ec.europa.eu/newsroom/article29
/items/612052. Acesso em: 10 jan. 2022.
42
subcontratante também possui deveres, principalmente no que tange a notificação das

autoridades, caso haja a ocorrência de um incidente de segurança77.
Ante o exposto, conclui-se que a norma prevista no artigo 47 da Lei Geral de Proteção
de Dados visa prevenir a ocorrência de incidentes de segurança, minimizando riscos ao
conferir aos responsáveis pelo tratamento de dados a obrigação de adotarem medidas
eficientes que assegurem a segurança da informação. Destaca-se que essas medidas devem
observar os preceitos mínimos previstos no artigo 50 da Lei Geral de Proteção de Dados.
Contudo, novamente, conclui-se que a legislação europeia possui grau de segurança superior.
para evitar a ocorrência de um incidente de segurança ao preceituar que deve ser indicado um
responsável por meio de contrato firmado entre as partes, com vistas a se prevenir a
ocorrência de um incidente de segurança.
O artigo 48 da Lei Geral de Proteção de Dados prevê o dever do Controlador de

comunicar à autoridade nacional, e ao titular, a ocorrência de incidente de segurança que
possa acarretar risco ou dano relevante aos titulares.
Inicialmente, destaca-se que a norma é categórica em definir que não são todos os
incidentes de segurança que devem ser comunicados, sendo necessário observar, no caso, a
existência de risco ou dano ao titular. Segundo Maria Helena Diniz, risco é definido como:
1. Possibilidade da ocorrência de um perigo ou sinistro causador de dano ou se

prejuízo, suscetível a acarretar responsabilidade civil na sua reparação. 2. Medida de
77
Sobre o tema o GT29 esclarece: “O artigo 33.º, n.º 2, esclarece que, se um responsável pelo tratamento
recorrer a um subcontratante e este tomar conhecimento de uma violação dos dados pessoais que está a tratar em
nome do responsável pelo tratamento, deve notificar o responsável pelo tratamento «sem demora injustificada».
É de salientar que o subcontratante não necessita de avaliar primeiro a probabilidade de risco resultante de uma
violação antes de notificar o responsável pelo tratamento; cabe ao responsável pelo tratamento efetuar essa
avaliação ao ter conhecimento da violação. O subcontratante só necessita de apurar a ocorrência de uma violação
e notificá-la ao responsável pelo tratamento. O responsável pelo tratamento recorre ao subcontratante para
alcançar os seus objetivos; por conseguinte, em princípio, considera-se que o responsável pelo tratamento tomou
«conhecimento» assim que o subcontratante o informa da violação. A obrigação de o subcontratante notificar o
seu responsável pelo tratamento permite ao responsável pelo tratamento responder a uma violação e determinar
se é ou não exigido notificar a autoridade de controlo em conformidade com o artigo 33.º, n.º 1, e as pessoas
afetadas em conformidade com o artigo 34.º, n.º 1. O responsável pelo tratamento também pode querer investigar
a violação, uma vez que o subcontratante pode não estar em posição de saber todos os fatos relevantes
relacionados com o assunto, por exemplo, se uma cópia ou cópia de segurança dos dados pessoais destruídos ou
perdidos pelo subcontratante ainda se encontra na posse do responsável pelo tratamento. Tal pode ditar a
necessidade de o responsável pelo tratamento proceder ou não à notificação.” EUROPEAN COMMISSION.
Article 29 Working Party. Guidelines on Personal data breach notification under Regulation 2016/679, 20
ago. 2018. Disponível em: https://ec.europa.eu/newsroom/article29 /items/612052. Acesso em: 10 jan. 2022.
43
danos ou prejuízos potenciais, expressa em termos de probabilidade estatística de

ocorrência e de intensidade ou grandeza das consequências previsíveis. 3.Relação
existente entre a probabilidade de que uma ameaça de evento adverso ou acidente
determinados, se concretize com o grau de vulnerabilidade do sistema receptor a
seus efeitos78
Por sua vez, Marcus Cláudio Acquaviva conceitua dano como:
Do latim damnu, prejuízo, perda. Prejuízo sofrido pelo patrimônio econômico ou

moral de alguém. O dano pode ser material, também chamado real, quando atinge
um bem economicamente apurável; ou moral, quando macula bens de ordem moral,
como a honra79
Portanto, uma vez ocorrido o incidente de segurança, é necessário analisar as possíveis

consequências do incidente para o titular e, uma vez verificada a existência de risco ou dano,
o Controlador é obrigado a comunicar à ANPD e ao titular dos dados, no prazo e forma
definida no §1º do artigo 48 da LGPD.
Quanto ao prazo, o §1º do artigo 48 da Lei Geral de Proteção de Dados optou por não
o definir, prevendo apenas que a notificação deve ser realizada em prazo razoável. A
Autoridade Nacional de Proteção de Dados, contudo, disponibilizou, no endereço eletrônico
do governo federal80, orientação de que a comunicação deve ocorrer o mais breve possível,
sendo indicado o prazo de 2 dias úteis, contados da data da ciência da ocorrência do incidente.
Em relação à comparação com o ordenamento jurídico europeu, observa-se que o
GDPR possui previsão no sentido de que o responsável deve notificar a autoridade nacional
de proteção de dados, sem demora justificável, em até 72 horas após ter tido conhecimento da
violação dos dados pessoais81. Caso esse prazo não seja observado, e não seja apresentada
justificativa plausível, haverá a aplicação de sanção administrativa.
Um dos casos que ilustra essa situação ocorreu em janeiro de 2019, quando a
Autoridade de Proteção de Dados da Irlanda aplicou uma multa no valor de €450.000,00 à
78
DINIZ, Maria Helena. Dicionário jurídico. São Paulo: Saraiva, 1998.p.215.
79
ACQUAVIVA, Marcus Cláudio. Dicionário jurídico brasileiro Acquaviva. 9. ed. rev., atual. e ampl. São
Paulo: Ed. Jurídica Brasileira, 1998.p.421.
80
AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS. Comunicação de incidentes de segurança, 22
fev. 2021. Disponível em: https://www.gov.br/anpd/pt-br/assuntos/incidente-de-seguranca. Acessado em 10 jan.
2022.
81
UNIÃO EUROPEIA. Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April
2016 on the protection of natural persons with regard to the processing of personal data and on the free
movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation). Disponível em:
< https://eur-lex.europa.eu/eli/reg/2016/679/oj>. Acesso em 15 fev. 2022.
44
empresa Twitter82, devido a um vazamento de dados. O Twitter possui duas opções acerca do
conteúdo que é publicado pelos titulares, podendo um usuário definir se suas publicações
serão públicas (visíveis a todos os usuários), ou privadas (disponíveis apenas aos usuários aos
quais o titular conferiu autorização). Contudo, a segurança da rede social foi invadida e posts
privados foram disponibilizados como públicos. Como o Twitter não comunicou à autoridade
no prazo de 72 horas, a referida multa foi aplicada por violação ao artigo 33 do GDPR.
As sanções pecuniárias que podem ser aplicadass pela autoridade de dados europeia
possuem valor elevado, atingindo o limite de 10 000 000 EUR ou até 2 % do volume de
negócios anual em nível mundial83.
No que tange às informações que devem constar da notificação, os incisos do §1º do
artigo 48 da LGPD definem a apresentação das seguintes informações: (i) descrição da
natureza dos dados pessoais afetados; (ii) informações sobre os titulares envolvidos; (iii)
indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados; (iv)
riscos relacionados ao incidente; (v) os motivos da demora, no caso de a comunicação não ter
sido imediata; (vi) medidas que foram ou que serão adotadas para reverter ou mitigar os
efeitos do prejuízo.
Observa-se que a lei exige que seja apresentado um relatório detalhado com relação ao
incidente, que poderá servir para análise dos motivos que levaram à sua ocorrência. O objeto
deste dispositivo é mapear os incidentes que ocorrem, buscando causas em comum e,
consequentemente, formas de evitar o acontecimento, conforme ensina Edison Fontes:
82
REUTERS. Regulador da Irlanda multa Twitter em marco para o regime de privacidade de dados da EU. G1.
Disponível em: https://g1.globo.com/economia/tecnologia/noticia/2020/12/15/regulador-da-irlanda-multa-
twitter-em-marco-para-regime-de-privacidade-de-dados-da-ue.ghtml. Acessado em 20 jan. 2022
83
Segundo o GT29: “Se os responsáveis pelo tratamento não notificarem a autoridade de controlo ou os titulares
dos dados de uma violação de dados, ou ambos, mesmo que os requisitos do artigo 33.º e/ou 34.º sejam
cumpridos, é colocada à autoridade de controlo uma escolha que deve incluir a análise de todas as medidas
corretivas à sua disposição, incluindo a imposição de uma coima adequada, quer acompanhada de uma medida
corretiva nos termos do artigo 58.º, n.º 2, quer por si própria. Caso se opte por uma coima, o seu valor pode ser
até 10 000 000 EUR ou até 2 % do volume de negócios anual a nível mundial, de uma empresa de acordo com o
artigo 83.º, n.º 4, alínea a), do RGPD. É igualmente importante ter em mente que, em certos casos, a não
notificação de uma violação pode revelar uma ausência de medidas de segurança ou uma inadequação das
medidas de segurança existentes. As orientações do GT29 relativas às coimas estabelecem o seguinte: «A
ocorrência de várias infrações distintas, cometidas em conjunto em qualquer caso individual específico, significa
que a autoridade de controlo pode aplicar as coimas a um nível que seja efetivo, proporcionado e dissuasivo,
dentro do limite aplicável à infração mais grave.» Nesse caso, a autoridade de controlo terá também a
possibilidade de emitir sanções, por um lado, por falta de notificação ou de comunicação da violação (artigos
33.º e 34.º) e, por outro, por ausência de medidas (adequadas) de segurança (artigo 32.º), uma vez que se trata de
duas infrações separadas.” EUROPEAN COMMISSION. Article 29 Working Party. Guidelines on Personal
data breach notification under Regulation 2016/679, 20 ago. 2018. Disponível em:
https://ec.europa.eu/newsroom/article29 /items/612052. Acesso em: 10 jan. 2022..
45
Gestão de incidentes de segurança da informação. O objetivo desse aspecto é

garantir que incidentes e ocorrências similares sejam formalmente registrados e
exista uma busca pela efetiva causa do mesmo com o objetivo de corrigir e resolver
em tempo aceitável para a realização do negócio84
O relatório acerca do incidente também é relevante para a eventual aplicação de

sanções, tendo em vista que o artigo 52 da LGPD determina que a diligência do controlador
dos dados é um aspecto relevante para a aplicação das sanções administrativas. Além disso, a
análise de diversos relatórios pode servir de embasamento para eventual pronunciamento da
ANPD, sobre os requisitos mínimos a serem adotados pelos agentes para garantir a segurança
da informação.
Ademais, esse relatório servirá para que a Autoridade Nacional de Proteção de Dados
avalie a gravidade do incidente e, caso julgue necessário, determinar a adoção de medidas,
como: a ampla divulgação dos fatos em meio de comunicação, medidas para reverter ou
mitigar os efeitos do incidente e outras, nos termos do §2º do artigo 48 da Lei Geral de
Proteção de Dados. Destaca-se que o referido artigo optou pela utilização do termo poderá, de
forma que haverá um juízo de mérito pela ANPD, após investigação, acerca da gravidade do
incidente, tratando-se de ato administrativo discricionário85. Ainda, ressalta-se que o rol de
medidas que poderão ser determinadas pela ANPD é exemplificativo, podendo a Autoridade
Nacional definir a adoção de outras medidas que julgue necessárias frente ao incidente de
segurança.
Por fim, o §3º do artigo 48 da Lei Geral de Proteção de Dados define que, na análise
de gravidade do incidente, haverá a verificação se foram adotadas medidas técnicas adequadas
que tornem os dados pessoais afetados ininteligíveis. Em outras palavras, a ANPD deve
verificar se os dados são passíveis de ser compreendidos e interpretados por terceiros.
Segundo parte da doutrina, o referido dispositivo faria menção expressa à criptografia.
Conforme aduz Ligia Maura Costa, a criptografia é uma forma de tornar informações
inacessíveis para terceiros:
A criptografia existe desde que o mundo é mundo. No mundo virtual, trata-se de uma
técnica de codificação de textos que faz com que a transmissão de mensagens e textos
se torne “ilegível” para quem não tem acesso ao padrão utilizado. Para cifrar ou
decifrar mensagens, é usado um padrão criptográfico conhecido como chave. Quanto
84
FONTES, Edison. Praticando a segurança da informação. Rio de Janeiro: Brasport, 2008.p.226.
85
Segundo a definição de Celso Antônio Bandeira de Melo, ato administrativo discricionário é aquele que possui
margem de liberdade: “A margem de liberdade conferida pela lei ao administrador a fim de que este cumpra o
dever de integrar com sua vontade ou juízo a norma jurídica, diante do caso concreto, segundo critérios
subjetivos próprios, a fim de dar satisfação aos objetivos consagrados no sistema legal”
46
maios for a chave, isto é quanto maior o número de bits da chave, maior será a
proteção. […] A criptografia pode ser simétrica (ou chave privada) ou assimétrica
(chave pública). No primeiro caso, a mesma chave é usada tanto para cifrar quanto
para decifrar mensagens. […] Na criptografia assimétrica são usadas duas chaves
distintas, uma para cifrar e outra para decifrar, embora matematicamente vinculadas.
[…] A criptografia, a cada dia que passa, torna-se mais e mais usual em qualquer
transação realizada via Internet. Suas principais funções são: (i) confidencialidade, (ii)
autenticidade e (iii) integridade das mensagens86
Contudo, apesar da criptografia ser um método relevante para proteção da informação,

novamente o legislador optou por não definir quais seriam os métodos capazes de garantir a
segurança da informação, evitando que a lei se torne defasada e obsoleta frente às novas
tecnologias que podem surgir. Assim, além da criptografia, o Controlador pode comprovar a
adoção de outros métodos que garantam a confidencialidade dos dados.
Com base no exposto, conclui-se que o artigo 48 da Lei Geral de Proteção de Dados
prevê as normas que devem ser seguidas em caso de ocorrência de um incidente, dando certa
liberdade para a Autoridade Nacional de Proteção de Dados realizar um juízo do incidente e
definir as medidas que devem ser adotadas.
Por fim, no mesmo sentido das normas previstas no artigo 47 da LGPD, o artigo 49
determina o dever da estruturação dos sistemas de tratamento de dados, de forma a atender
aos requisitos de segurança, aos padrões de boas práticas e de governança, aos princípios
gerais previstos nesta Lei e às demais normas regulamentares.
Observa-se que o dispositivo em comento optou pela previsão de termos genéricos e
abrangentes sobre os requisitos de um sistema. No que tange à adequação das boas práticas de
governança, novamente se faz menção às normas ISO/IEC. A norma técnica ABNT NBR
ISO/IEC 27001:2013 consiste em requisitos e diretrizes de boas práticas para Gestão de
Sistema de Segurança da Informação, inclusive sobre Privacidade, consubstanciados nas
melhores técnicas mundialmente reconhecidas sobre o assunto.
Além disso, assim como no artigo 47 da LGPD, o legislador optou por fazer menção à
observância dos princípios previstos no artigo 6º da Lei, sendo também aplicável o conceito
de privacy by design, exposto no capítulo anterior. Portanto, trata-se, também, de norma que
86
COSTA, Ligia Maura. Direito internacional eletrônico: manual das transações on-line. São Paulo: Ed.
Quartier Latin, 2008.p.58.
47
minimiza os riscos da ocorrência de um incidente de segurança, adicionada ao ordenamento

para que haja a garantia da segurança da informação nos sistemas utilizados.
9. CONCLUSÃO
A proteção de dados é imprescindível para a garantia dos direitos fundamentais da

pessoa natural, ao passo que a economia da informação é de suma importância para o
desenvolvimento de novas tecnologias e o fomento econômico.
Assim, as respostas legislativas que surgiram sobre o tema têm função dupla, tendo em
vista que pretendem regular o mercado de dados, dando maior segurança jurídica às empresas
e fomentando o crescimento econômico, ao mesmo que tempo em que pretendem conferir
maior controle ao titular dos dados sobre suas informações pessoais, além de garantir maior
segurança contra incidentes.
Outra constatação que se extrai do estudo das legislações ora analisadas é que o
mercado de dados é global, podendo os controladores exercerem suas funções de qualquer
espaço geográfico, devido ao nível tecnológico disponível. Assim, é evidente a necessidade da
adoção global de políticas de dados semelhantes, perpassando pelos mesmos princípios e
institutos de proteção ao titular.
Justamente com base nessas questões, a União Europeia criou uma legislação de dados
exemplar, que é referência mundial e fruto de uma evolução legislativa que ocorre desde
1990. O GDPR é a principal inspiração para a edição das legislações pelo mundo,
confirmando uma tendência de convergência de políticas de proteção de dados.
Pela análise da legislação brasileira, constata-se que há evidente inspiração no
ordenamento jurídico europeu, tendo em vista que grande parte dos conceitos presentes na
norma brasileira também se encontram presentes no GDPR.
Observa-se que a Lei Geral de Proteção de Dados aborda conceitos técnicos, uma vez
que todos os dispositivos que tratam dos incidentes de segurança levam em consideração o
conceito de segurança da informação e os princípios básicos relacionados a ele, de forma que
a Lei possui influências de outras ciências, o que é um ponto positivo para a sua aplicação.
Ainda, analisando em conjunto as normas sobre incidentes de segurança, conclui-se
que a Lei previu a existência de um plano de ação, que oferece regulação desde a idealização
do produto ou serviço (por meio da inclusão das noções do privacy by design), até os atos que
devem ser tomados após a ocorrência de eventual incidente de segurança.
48
A LGPD optou por conferir grande responsabilidade à Autoridade Nacional de

Proteção de Dados, dado que a ANPD é o órgão responsável pela edição de normas mínimas
que devem ser implementadas para garantir a segurança da informação, reduzindo os riscos de
ocorrência de um incidente de segurança. Ademais, a ANPD será responsável por realizar a
análise da gravidade dos incidentes de segurança que resultem em risco ou dano ao titular,
possuindo poderes para determinar a adoção de medidas para reduzir o impacto do incidente,
como a divulgação do ocorrido em meios de comunicação. Para embasar essa decisão, foi
incluída, no artigo 48 da LGPD, a necessidade de uma comunicação detalhada acerca do
incidente, fornecendo à autoridade brasileira uma grande margem de informações para
embasar a decisão.
Como se trata de norma recente, devido ao pouco tempo de vigência da Lei Geral de
Proteção de Dados, deve ser observado como serão as condutas adotadas pela Autoridade
Nacional de Proteção de Dados no futuro, não só no exercício das suas funções reguladoras,
como também, quais serão as decisões tomadas mediante a ocorrência de um incidente de
segurança.
Ainda, ressalta-se a importância da observância das diretrizes europeias e dos
posicionamentos fixados pelo Grupo de Trabalho do Artigo 29 e da EDPB para que a ANPD
possa desenvolver suas atividades regulamentares, em cumprimento ao disposto no art. 55-J,
especialmente nos incisos III e XIII, da LGPD.
Assim, será necessário acompanhar as decisões administrativas sobre o tema, e
eventuais decisões judiciais, tendo em vista que diversos dispositivos da LGPD possuem
conceitos genéricos e abrangentes. A partir de tais observações, será possível a melhor e
efetiva averiguação de quais os parâmetros de interpretação do texto normativo serão
adotados e, consequentemente, qual será a eficiência e efetividade dos dispositivos previstos
na LGPD para redução dos incidentes de segurança.
No que tange à comparação com o ordenamento europeu, observa-se que a Lei Geral
de Proteção de Dados é baseada no GDPR, uma vez que cópia certos institutos, contudo.
possui grau de segurança inferior, deixando de prever aspectos importantes, tais como, o
conceito de incidente de segurança e o prazo para envio de notificação à autoridade, no caso
da ocorrência de um incidente de segurança. Resta verificar, em aplicações práticas futuras, se
a lei brasileira será capaz de atender a seus pressupostos, garantindo a segurança e eficaz
proteção dos dados e mitigando os riscos da ocorrência de incidentes de segurança.
49
REFERÊNCIAS
ACQUAVIVA, Marcus Cláudio. Dicionário jurídico brasileiro Acquaviva. 9. ed. rev.,

atual. e ampl. São Paulo: Ed. Jurídica Brasileira, 1998.
ADAMS, Maurice; HEIRBAUT, Dirk (Ed.). The Method and Culture of Comparative
Law: Essays in Honour of Mark Van Hoecke. Oxford: Hart Publishing, 2014.
ANDRADE, Henrique. Site do Ministério da Saúde sofre ataque hacker durante madrugada e
sai do ar. CNN Brasil. Disponível em: https://www.cnnbrasil.com.br/nacional/site-do-
ministerio-da-saude-sofre-ataque-hacker-durante-madrugada-e-sai-do-ar/. Acesso em 19 dez.
2021
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 27002:

Tecnologia da Informação – Técnicas de Segurança – Código de prática para controles de
segurança da informação. Rio de Janeiro, 2013. Disponível em:
https://www.normas.com.br/visualizar/abnt-nbr-nm/21529/abnt-nbriso-i ec27002-tecnologia-
da-informacao-tecnicas-de-seguranca-codigo-de-pratica-para-controles-d e-seguranca-da-
informacao. Acessado em 10 fev. 2022.
AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS. Comunicação de incidentes de

segurança, 22 fev. 2021. Disponível em: https://www.gov.br/anpd/pt-br/assuntos/incidente-
de-seguranca. Acessado em 10 jan. 2022.
BARBIERI, Carlos. Governança de dados: práticas, conceitos e novos caminhos. Rio de

Janeiro: Alta Books, 2019
BENJAMIN, Antônio Herman de V. et al. Código brasileiro de defesa do consumidor:

Comentado pelos autores do anteprojeto. 5. ed. Rio de Janeiro: Forense Universitária, 1997.
BENNETT, Colin. Visions of Privacy: Policy Choices for the Digital Age. Toronto:
University of Toronto Press. 1999.
BIONI, Bruno Ricardo. Proteção de dados pessoais: a função e os limites do consentimento.

Rio de Janeiro: Forense, 2019.
BRASIL. Constituição da República Federativa do Brasil, 5 de outubro de 1988. Brasília,

DF: Senado Federal, 1988. Disponível em: http://www.planalto.gov.br/ccivil_03
/constituicao/constituicaocompilado.htm. Acessado em: 10 fev. 2022.
BRASIL. Lei nº 8.078, de 11 de setembro de 1990. Dispõe sobre a proteção do consumidor

e dá outras providências. Diário Oficial [da] República Federativa do Brasil, Brasília, DF,
11 set. 1990. Disponível em http://www.planalto.gov.br/ccivil_ 03/leis/l8078compilado.htm
Acessado em: 10 fev. 2022.
BRASIL. Lei nº 12.965, de 23 de abril de 2014. Estabelece princípios, garantias, direitos e

deveres para o uso da internet no Brasil. Diário Oficial [da] República Federativa do
50
Brasil, Brasília, DF, 23 abr. 2014. Disponível em: http://www.planalto.gov.br/ccivil_03/_

ato2011-2014/2014/lei/l12965.htm. Acessado em: 10 fev. 2022.
BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais
(LGPD). Redação dada pela Lei nº 13.853, de 2019. Brasília, DF: Senado Federal, 2018.
Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm
ato2011-2014/2014/lei/l12965.htm. Acessado em: 10 fev. 2022.
BRASIL, Presidência da República. Estratégia de Segurança da Informação e

Comunicações e de Segurança Cibernética da Administração Pública Federal. Gabinete
de Segurança Institucional, Departamento de Segurança da Informação e Comunicações,
março 2015. Disponível em:
<http://dsic.planalto.gov.br/documentos/publicacoes/4_Estrategia_de_SIC.pdf>. Acesso em:
22 jan. 2022.
BUTTARELLI, Giovanni. Banche dati e tutela dela riservatezza. Milano: Giuffrè, 1997.
CAVOUKIAN, Ann. Privacy by Design The 7 Foundational Principles. Disponível em:

www.ipc.on.ca/wp-content/uploads/Resources/7foundationalprinciples.pdf. Acesso em: 23
jan. 2022.
CONSELHO DA EUROPA. Convenção para a Proteção de Indivíduos com Respeito ao

Processamento Automatizado de Dados Pessoais Disponível em
https://www.coe.int/en/web/data-protection/convention108-andprotocol. Acesso em: 16 dez.
2021.
CORDEIRO, Barreto Menezes. Direito da Proteção de Dados- À luz do RGPD e da Lei n.º
58/2019. Portugal. Edições Almedina: 2020.
COSTA, Ligia Maura. Direito internacional eletrônico: manual das transações on-line. São
Paulo: Ed. Quartier Latin, 2008.
COTS, Márcio; OLIVEIRA, Ricardo. Lei Geral de Proteção de Dados Pessoais comentada.
São Paulo: Thomson Reuters Brasil, 2018.
DE LUCCA, Newton; SIMÃO FILHO, Adalberto; LIMA, Cíntia Rosa Pereira; Maciel,
Renata Mota (Coord.). Direito e Internet IV: Sistema de Proteção de Dados Pessoais. São
Paulo: Quartier Latin, 2019.
DINIZ, Maria Helena. Dicionário jurídico. São Paulo: Saraiva, 1998.
DONEDA, Danilo. Da privacidade à proteção de dados pessoais: fundamentos da Lei

Geral de Proteção de Dados. São Paulo: Thomson Reuters Brasil, 2020.
EUROPEAN COMISSION. Cybersecurity Strategy of the European Union: An Open,

Safe and Secure Cyberspace. High Representative of the European Union for Foreign Affairs
and Security Policy, Bruxelas, 7 fevereiro 2013. Disponível em:
<http://ec.europa.eu/newsroom/dae/document.cfm?doc_id=1667>. Acesso em: 22 jan. 2022.
51
FONTES, Edison. Vivendo a segurança da informação: orientações práticas para pessoas e

organizações. São Paulo: Sicurezza, 2000.
FONTES, Edison. Praticando a segurança da informação. Rio de Janeiro: Brasport, 2008.
GROSSI, Bernardo Menicucci. Lei Geral de Proteção de Dados: uma análise preliminar da
Lei 13.709/2018 e da experiência de sua implantação no contexto empresarial. Porto Alegre.
Editora Fi, 2020.
HARARI, Yuval Noah. Sapiens: uma breve história da humanidade. Tradução de Janaína
Marcoantonio. Porto Alegre: L&PM, 2015.
HINTZBERGEN, Jule; HINTZBERGEN, Kees; BAASR, Hans; SMULDERS, André.

Foundations of Information Security: based on ISO 27001 and 27002. 3. ed. revisada. Série
“Best Practices”. Tradução de Alan de Sá. Den Bosch: Van Haren Publishing, 2015.
HUSA, Jaakko. Research Designs of Comparative Law: Methodology or Heuristics? The

Journal of Comparative Law, v. 9, 2015.
INTERNATIONAL COMMUNICATIONS UNION. Series X: Data Networks, Open System

Communications and Security - Telecommunication Security - Overview of
cybersecurity (Recommendation ITU-T X.1205). Telecommunication Standardization Sector
of ITU (ITU-T), Genebra, abril 2008.Disponível em: <http://www.itu.int/ITU-
T/recommendations/rec.aspx?rec=9136&lang=en>. Acesso em: 22 jan. 2022.
JORNAL NACIONAL. Ataque hacker atingiu computadores em quase 100 países na sexta.
G1. Disponível em: https://g1.globo.com/jornal-nacional/noticia/2017/05/ataque-hacker-
atingiu-computadores-em-quase-100-paises-na-sexta.html. Acesso em 22 jan. 2022.
JOSSEN, Sam. The world’s most valuable resource is no longer oil, but data. The
Economist. Disponível em: www.economist.com/leaders/2017/05/06/the-worlds-most-
valuable-resource-is-no-longer-oil-but-data. Acesso em: 20 jan. 2022.
LEAL, Aline. Banco Central comunica vazamento de dados de 160,1 mil chaves Pix. Agência
Brasil. Disponível em: https://agenciabrasil.ebc.com.br/economia/noticia/2022-01/bc-
comunica-vazamento-de-dados-de-1601-mil-chaves-pix. Acesso em: 25 jan. 2022.
LEONARDI, Marcel. Tutela e Privacidade na Internet. São Paulo. Editora Saraiva. 2011.
LIMA, Maurício. Banco Inter vai pagar R$ 1,5 milhão por vazamento de dados de clientes.
Veja. Disponível em: https://veja.abril.com.br/economia/banco-inter-vai-pagar-r-15-milhao-
por-vazamento-de-dados-de-clientes/. Acesso em: 20 jan. 2022.
MALDONADO, Viviane; BLUM, Renato. Comentários ao GDPR. São Paulo: Thomson

Reuters Brasil, 2021.
MALDONADO, Viviane Nóbrega e BLUM, Renato Opice (Coord.). LGPD: Lei Geral de
Proteção de Dados Comentada. 2. ed. São Paulo: Thomson Reuters Brasil, 2020.
52
MAYER-SCHÖNBERGER, Viktor; CUKIER, Kenneth. Big Data: A Revolution That Will

Transform How We Live. Work, and Think. New York: Houghton Mifflin Harcourt, 2013
MENDES, Laura Schertel. Transparência e privacidade: violação e proteção da informação

pessoal na sociedade de consumo. 2008. 156 f. Dissertação (Mestrado em Direito) -
Universidade de Brasília, Brasília, 2008.
MOGNON, Mateus. iFood confirma que ataque foi realizado por funcionário. TecMundo, 03
nov. 2021. Disponível em: https://www.tecmundo.com.br/seguranca/227997-ifood-confirma-
ataque-realizado-funcionario.htm?f. Acesso em: 10 jan. 2022
PARKER, Donn. Política de Segurança e inventário e ativos de informação. Indaial:

Uniasselvi, 2020.
PASQUALE, Frank. The black box society: The secret algorithms that control money and
information. Cambridge: Harvard University Press, 2015.
PINHEIRO, Alexandre; COELHO, Cristina; DUARTE, Tatiana; GONÇALVES, Carlos;

GONÇALVES, Catarina. Comentário ao Regulamento Geral de Proteção de Dados.
Coimbra: Almedina, 2020.
PINHEIRO, Patrícia Peck. Proteção de Dados Pessoais Comentários à Lei n. 13.709/2018.

São Paulo: Saraiva, 2020.
REUTERS. Regulador da Irlanda multa Twitter em marco para o regime de privacidade de

dados da EU. G1. Disponível em:
https://g1.globo.com/economia/tecnologia/noticia/2020/12/15/regulador-da-irlanda-multa-
twitter-em-marco-para-regime-de-privacidade-de-dados-da-ue.ghtml. Acessado em 20 jan.
2022
RODOTÀ, Stefano. A vida na sociedade da vigilância: a privacidade hoje. Tradução de

Danilo Doneda e Luciana Cabral Doneda. Rio de Janeiro: Renovar, 2008.
SARCEDO, Leandro. Compliance e responsabilidade penal da pessoa jurídica:

construção de um novo modelo de imputação, baseado na culpabilidade corporativa.
2015. Tese (Doutorado em Direito Penal) - Faculdade de Direito da Universidade de São
Paulo, São Paulo, 2015.
SLOKENBERGA, Santa; TZORTZATOU, Olga. GDPR and Biobanking Individual

Rights, Public Interest and Research Regulation across Europe. Cham: Springer Open
Access, 2021.
SRNICEK, Nick. Platform capitalism. Cambridge: Polity Press, 2018.
TEPEDINO, Gustavo; FRAZÃO, Ana; OLIVA, Milena Donato (Coord.). Lei Geral de
Proteção de Dados Pessoais e Suas Repercussões no Direito Brasileiro. São Paulo:
Thomson Reuters Brasil, 2019.
53
VAINZOF, Rony. Dados pessoais, tratamento e princípios. In: MALDONADO, Viviane

Nóbrega; OPICE BLUM, Renato (Coord.). Comentários ao GDPR: Regulamento Geral de
Proteção de Dados da União Europeia. São Paulo: Revista dos Tribunais, 2018.
VOIGT, Paul; VON DEM BUSSCHE, Axel. The EU General Data Protection Regulation
(GDPR): a practical guide. Cham: Springer, 2017.
WUERMELING. Ulrich. Harmonization of European Union Privacy Law. John Marshall

Journal of Computer & Information Law, v. 14-, 1996.
ZWEIGERT, Konrad; KÖTZ, Hein. An Introduction to Comparative Law. New York:

Oxford University Press, 1998.

MONOGRAFIA - Bruno Campos

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

MONOGRAFIA - Bruno Campos

Enviado por

Direitos autorais:

Formatos disponíveis

UNIVERSIDADE FEDERAL DE MINAS GERAIS

Bruno Braga Araújo Campos

TRATAMENTO E PROTEÇÃO DE DADOS PESSOAIS: um estudo de direito

Bruno Braga Araújo Campos

TRATAMENTO E PROTEÇÃO DE DADOS PESSOAIS: um estudo de direito

Projeto apresentado pelo graduando Bruno

Área de Concentração: Direito Societário e

Orientadores: Doutor Leonardo Netto

A evolução da economia de dados, ou big data, evidenciou a necessidade de haver uma

Palavras-chave: Dados. Lei Geral de Proteção de Dados. Incidente de Segurança.

ABNT Associação Brasileira de Normas Técnicas

O objetivo deste estudo é promover uma análise do instituto do incidente de

dados, c) apresentar um breve histórico da evolução da legislação da proteção de dados no

2. A IMPORTÂNCIA DOS DADOS

Os bits, alinhados em conjunto de 8 para formar um byte, transformavam-se em um

Com o avanço tecnológico que levou à possibilidade de armazenamento e

No que tange ao Brasil, também com raízes na legislação europeia, em 10 de julho de

Recentes vazamentos de dados de enormes dimensões e escândalos sobre

3. A NECESSIDADE DA REGULAÇÃO DE PROTEÇÃO DE DADOS

Antes de adentrar à análise das legislações europeia e brasileira, é necessário realizar

cruzamento de dados que constavam de documentos que previam as diversas rotas já

Neste contexto, os dados se tornaram um dos ativos mais valiosos, conforme a

O conceito de Big Data nada mais é do que a representação de um novo momento da

Portanto, conclui-se que o conceito de Big Data não se resume à coleta e

O método do Google não envolve distribuir cotonetes ou contratar médicos. Em

Neste contexto, apesar de já haver legislações de proteção de dados desde meados de

4. HISTÓRICO DA CRIAÇÃO DO REGULAMENTO EUROPEU

Conforme exposto, os países europeus foram os primeiros a iniciar o processo

Apesar das iniciativas nacionais, rapidamente os estados chegaram à conclusão de que

O aumento de movimentos transfronteiriços de pessoas, de mercadorias e de

Neste sentido, o Conselho Europeu emitiu um documento recomendando que as

Ainda em 1973, a Assembleia Consultiva do Conselho Europeu solicitou ao Comitê

Em 1981, o Conselho da Europa editou a Convenção para a Proteção de Indivíduos

1. Os Estados-Membros assegurarão, em conformidade com a presente directiva, a

2) Considerando que os sistemas de tratamento de dados estão ao serviço do

Esse texto normativo trouxe importantes inovações no âmbito da proteção de dados,

Em 1995 a Comunidade Europeia adotou a Diretiva 95/46/EC do Parlamento

Para solucionar o problema, em 2012, iniciou-se o debate para a criação de um

Segundo o próprio preâmbulo do Regulamento Geral de Proteção de Dados Pessoais

5. HISTÓRICO DA PROTEÇÃO DE DADOS NO BRASIL

No Brasil, seguindo a tendência mundial, houve uma crescente discussão acerca da

No Brasil, o plano era atualizar a Lei de Direitos Autorais - LDA de 1998 e

Previamente, advirta-se para o fato de que a Constituição brasileira contemplava o

As informações dos arquivos de consumo só podem ser prestadas uma vez

Além do Código de Defesa do Consumidor, o Marco Civil da Internet também previa

Ao julgar a inconstitucionalidade da norma, a Ministra Rosa Weber destacou em seu

[...] 1. Decorrências dos direitos da personalidade, o respeito à privacidade e à

Estamos diante da verdadeira reinvenção da proteção de dados – não somente

Neste contexto, foi editada a Lei Geral de Proteção de Dados, de 14 de agosto de

Art. 6º As atividades de tratamento de dados pessoais deverão observar a boa-fé e os

Antes de adentrar ao mérito dos incidentes de segurança e a sua previsão no

Embora haja definições diferentes para dados (estrutura elementar da cadeia

Um programa de segurança pode ter diversos objetivos, grandes e pequenos, mas os

A confidencialidade, também conhecida como exclusividade, trata de quem pode ter

Minha definição para integridade da informação vem dos dicionários. Integridade

Seguindo as normas ISO, algumas medidas que garantem a integridade da informação

A informação é um bem da organização e como tal deve ser gerenciado, protegido,

estar corrompida; confidencialidade da informação – a informação deve ser acessada

Em complemento ao triângulo CIA, Donn B. Parker criou a teoria do Hexagrama

A coleção de ferramentas, políticas, conceitos de segurança, salvaguardas de

Salvaguardas e ações que se podem empregar para proteger o domínio cibernético,

No que tange ao Brasil, o Gabinete de Segurança Institucional da Presidência da

proteção da informação no ambiente cibernético. Assim, pode se concluir que a segurança