Lei geral de proteção de dados (LGPD)

 FUNDAMENTOS DA LEI DE PROTEÇÃO DE DADOS (A RT. 2º)

OS FUNDAMENTOS DA NORMA APRESENTAM OS MOTIVOS PELOS QUAIS ELA FOI EDITADA ,

AUXILIANDO NA SUA INTERPRETAÇÃO E APLICAÇÃO .

NA LGPD, TÊM GRANDE RELEVÂNCIA OS FUNDAMENTOS DA PRIVACIDADE E DA

AUTODETERMINAÇÃO INFORMATIVA, JÁ QUE, A PARTIR DELES, PASSA-SE A RECONHECER QUE
O " DONO" DOS DADOS , OU SEJA, O CIDADÃO , TEM O DIREITO DE CONTROLAR E DE SER
INFORMADO ACERCA DA UTILIZAÇÃO DE SUAS INFORMAÇÕES PESSOAIS . C OM ISSO , OS DADOS
DEIXAM DE SER PATRIMÔNIO EXCLUSIVO DE QUEM OS UTILIZA PARA PERTENCER A QUEM ELES
DE FATO SE REFEREM .

I) DIREITO À PRIVACIDADE : LGPD SE ESTRUTURA , GARANTIDA

BASE SOBRE A QUAL A POR
MEIO DA INVIOLABILIDADE DA INTIMIDADE , DA HONRA , DA IMAGEM E DA VIDA PRIVADA ;

II) AUTODETERMINAÇÃO INFORMATIVA : DIREITO DE O TITULAR DAS INFORMAÇÕES

CONTROLAR E SER OBJETIVAMENTE INFORMADO ACERCA DA FINALIDADE E UTILIZAÇÃO DOS
SEUS DADOS ;

III) LIBERDADE DE EXPRESSÃO , DE I NFORMAÇÃO ,

COMUNICAÇÃO E OPINIÃO : REFLETE O
DIREITO DE ACESSO ÀS INFORMAÇÕES DO TITULAR DOS DADOS;

IV) DESENVOLVIMENTO ECONÔMICO E TECNOLÓGICO, E I NOVAÇÃO : A LGPD VISA TRAZER

MAIOR SEGURANÇA JURÍDICA AOS NOVOS CENÁRIOS CRIADOS PELOS AVANÇOS DA
TECNOLOGIA .

V) LIVRE INICIATIVA , CONCORRÊNCIA E DEFESA DO CONSUMIDOR : RETRATA O

RECONHECIMENTO DA NECESSIDADE DE CRIAR REGRAS DE ATUAÇÃO PARA AMBIENTES DE
GRANDE COMPETITIVIDADE E ASSIMETRIA NAS RELAÇÕES JURÍDICAS;

VI) LIVRE DESENVOLVIMENTO DA PERSONALIDADE, DIGNIDADE E EXERCÍCIO DA CIDADANIA

PELAS PESSOAS : ASSEGURA ÀS PESSOAS O DIREITO DE DETERMINAR E EXERCER SUAS PRÓPRIAS
VONTADES;

VII) OS DIREITOS HUMANOS, O LIVRE DESENVOLVIMENTO DA PERSONALIDADE , A DIGNIDADE E

O EXERCÍCIO DA CIDADANIA PELAS PESSOAS NATURAIS .

 CONCEITOS FUNDAMENTAIS PARA A COMPREENSÃO DO TEXTO (A RT . 5º)

I) DADOS PESSOAIS: DADOS PESSOAIS É INFORMAÇÃO RELATIVA A UMA PESSOA VIVA,
IDENTIFICADA OU IDENTIFICÁVEL . TAMBÉM CONSTITUI DADOS PESSOAIS O CONJUNTO DE
INFORMAÇÕES DISTINTAS QUE PODEM LEVAR À IDENTIFICAÇÃO DE UMA DETERMINADA
PESSOA .
EXEMPLOS: DADOS CADASTRAIS , DATA DE NASCIMENTO , PROFISSÃO , DADOS DE GPS,
IDENTIFICADORES ELETRÔNICOS , NACIONALIDADE , GOSTOS, INTERESSES, HÁBITOS DE
CONSUMO , ENTRE OUTROS .

II) DADOS PESSOAIS SENSÍVEIS : DADOS PESSOAIS CONSIDERADOS “SENSÍVEIS ” SÃO AQUELES
QUE ESTÃO SUJEITOS A CONDIÇÕES DE TRATAMENTO ESPECÍFICAS .
EXEMPLOS: DADOS QUE REVELEM À ORIGEM RACIAL OU ÉTNICA , OPINIÕES POLÍTICAS E
CONVICÇÕES RELIGIOSAS , FILIAÇÃO (SINDICAL, RELIGIOSA E POLÍTICA ), GENÉTICOS,
BIOMÉTRICOS TRATADOS SIMPLESMENTE PARA IDENTIFICAR UM SER HUMANO, RELATIVOS À
VIDA SEXUAL OU ORIENTAÇÃO SEXUAL DA PESSOA.

III) DADOS ANONIMIZADOS : UM DADO ANONIMIZADO É UM DADO PESSOAL OU SENSÍVEL

TRATADO PARA QUE SUAS INFORMAÇÕES NÃO POSSAM SER VINCULADAS AO SEU TITULAR
ORIGINAL, LEVANDO - SE EM CONSIDERAÇÃO A UTILIZAÇÃO DE FERRAMENTAS TÉCNICAS
RAZOÁVEIS E DISPONÍVEIS POR OCASIÃO DO TRATAMENTO (A NONIMIZAÇÃO, ART. 5º, XI).

ART. 12. OS DADOS ANONIMIZADOS NÃO SERÃO CONSIDERADOS DADOS PESSOAIS PARA OS
FINS DESTA LEI, SALVO QUANDO O PROCESSO DE ANONIMIZAÇÃO AO QUAL FORAM
SUBMETIDOS FOR REVERTIDO , UTILIZANDO EXCLUSIVAMENTE MEIOS PRÓPRIOS , OU QUANDO ,
COM ESFORÇOS RAZOÁVEIS , PUDER SER REVERTIDO .

PROCESSO DE ANONIMIZAÇÃO (A RT . 5º, XI): UTILIZAÇÃO DE MEIOS TÉCNICOS RAZOÁVEIS E

DISPONÍVEIS NO MOMENTO DO TRATAMENTO , POR MEIO DOS QUAIS UM DADO PERDE A
POSSIBILIDADE DE ASSOCIAÇÃO , DIRETA OU INDIRETA , A UM INDIVÍDUO .

PRINCIPAIS MÉTODOS DE ANONIMIZAÇÃO:

SUPRESSÃO DE DADOS

ESSA TÉCNICA REMOVE COMPLETAMENTE OS DADOS IDENTIFICÁVEIS DO BANCO DE DADOS.

POR EXEMPLO, EXCLUA DÍGITOS EM UM NÚMERO DE TELEFONE OU TODOS OS NOMES EM UMA
TABELA . É TAMBÉM UMA DAS TÉCNICAS ANÔNIMAS MAIS EFICAZES .

ENCOBRIMENTO DE CARACTERES

É A TÉCNICA UTILIZADA QUANDO UMA PARTE DA INFORMAÇÃO (NO CASO , O PREFIXO) AINDA É
RELEVANTE PARA FINS ESTATÍSTICA E AO MESMO TEMPO , NÃO AFETA O ANONIMATO .
 GENERALIZAÇÃO

EM GERAL, DADOS PRECISOS SÃO SUBSTITUÍDOS POR CATEGORIAS MAIS AMPLAS E GERAIS .
POR EXEMPLO , A IDADE EXATA É CONVERTIDA EM IDADE E O CÓDIGO POSTAL É TROCADO
APENAS PARA A CIDADE OU REGIÃO DO PAÍS.

 DEMAIS CONCEITOS CITADOS NO ARTIGO 5.º DA LEI 13.709:

IV) BANCO DE DADOS: CONJUNTO ESTRUTURADO DE DADOS PESSOAIS, ESTABELECIDO EM UM

OU EM VÁRIOS LOCAIS , EM SUPORTE ELETRÔNICO OU FÍSICO ;

V) TITULAR: INDIVIDUO A QUEM OS DADOS PESSOAIS SENDO TRATADOS SE REFEREM . É O

SOBERANO DE QUALQUER ASSUNTO RELACIONADO AO TRATAMENTO DESSAS INFORMAÇÕES E
TEM CAPACIDADE DE CONSENTIR , OU NÃO, COM O TRATAMENTO ;

VI) CONTROLADOR : É AQUELE QUE TEM A RESPONSABILIDADE DE DEFINIR QUAIS DADOS

SERÃO NECESSÁRIOS , SUAS FINALIDADES E OS MEIOS PELOS QUAIS SERÃO USADOS , CABENDO
AS DECISÕES E AS RESPONSABILIDADES DE ADEQUAÇÃO À LGPD. PODEM ASSUMIR A POSIÇÃO
DE CONTROLADOR TANTO A PESSOA FÍSICA QUANTO UMA EMPRESA , COM OU SEM FINS
LUCRATIVOS , DA INICIATIVA PRIVADA OU ÓRGÃOS DO GOVERNO ;

ASSIM, O CONTROLADOR É FIGURA CENTRAL QUE DECIDE OU IDENTIFICA :

 QUAIS DADOS SERÃO COLETADOS ;

 QUAL O MOTIVO DA COLETA ;

 FUNDAMENTO OU A BASE LEGAL QUE JUSTIFICA O TRATAMENTO ;

 DE QUAIS TITULARES OS DADOS SERÃO COLETADOS;

 FINALIDADE PARA O USO DOS DADOS;

 A QUEM CABERÁ COMPARTILHAR , DIVULGAR OU TRANSFERIR OS DADOS; E

CICLO DE VIDA DOS DADOS, OU SEJA, O PERÍODO OU AS FASES NECESSÁRIAS DE USO .

SOMADA À FUNÇÃO DE GARANTIR A SEGURANÇA DOS DADOS E ADEQUAR OS SEUS PROCESSOS

À LGPD, AQUELE QUE OCUPAR A POSIÇÃO DE CONTROLADOR DEVE TER ATENÇÃO PARA O
CUMPRIMENTO ESPECÍFICO DAS SEGUINTES ATRIBUIÇÕES:

> OBTER O CONSENTIMENTO , QUANDO NECESSÁRIO , E INFORMAR AO TITULAR QUANDO

HOUVER ALTERAÇÕES NO TRATAMENTO DE DADOS (INCISO I DO ARTIGO 7° E § 2º DO
ARTIGO 9° DA LGPD);
> INDICAR O ENCARREGADO PELO TRATAMENTO DE DADOS E DIVULGAR PUBLICAMENTE
SUA IDENTIDADE E INFORMAÇÕES DE CONTATO (ARTIGO 41 DA LGPD);

> PRESTAR CONTAS DOS DADOS COLETADOS , CABENDO DEMONSTRAR AS FINALIDADES

DA COLETA , O USO DOS DADOS PARA O FIM QUE ESPECIFICOU E AS MEDIDAS DE
SEGURANÇA UTILIZADAS (INCISOS I, II E X DO ARTIGO 6º DA LGPD);

> GARANTIR A PORTABILIDADE DOS DADOS, QUANDO REQUERIDA PELO TITULAR, OU

SEJA , VIABILIZAR O DIREITO DO TITULAR EM TRANSFERI - LOS ENTRE CONTROLADORES ,
SEGUNDO SUA VONTADE, OU, NOS TERMOS DA LGPD, CONFORME SUA
AUTODETERMINAÇÃO INFORMATIVA (INCISO V DO ARTIGO 18 DA LGPD);

> TRATAR OS DADOS COM TRANSPARÊNCIA , PRINCIPALMENTE QUANDO

FUNDAMENTADO NO LEGÍTIMO INTERESSE (§ 2º DO ARTIGO 10 DA LGPD);

O CONCEITO DE “LEGÍTIMO INTERESSE ” NÃO É ESPECIFICADO E , PORTANTO , SÓ SERÁ POSSÍVEL

ENTENDER EXATAMENTE SUA EXTENSÃO E APLICAÇÃO A PARTIR DAS SITUAÇÕES CONCRETAS QUE
FOREM SURGINDO AO LONGO DA ATUAÇÃO DA ANPD APÓS A ENTRADA EM VIGOR DA LEI.

UTILIZAR OS DADOS PESSOAIS COLETADOS PARA FINS DE E - MAIL MARKETING , POR EXEMPLO , ENTRA
NO LEGÍTIMO INTERESSE DO CONTROLADOR (CONFORME ESPECIFICADO NO ITEM I). PARA ESSA E
OUTRAS ATIVIDADES DE LEGÍTIMO INTERESSE , É IMPORTANTE QUE SOMENTE OS DADOS ESTRITAMENTE
NECESSÁRIOS SEJAM UTILIZADOS . ASSIM, PRESERVA - SE TANTO O LEGÍTIMO INTERESSE DO
CONTROLADOR QUANTO A INTEGRIDADE DOS DADOS DO TITULAR .

> MANTER REGISTRO DAS OPERAÇÕES DE TRATAMENTO (ARTIGO 37 DA LGPD). NESTE

PONTO , O M APEAMENTO DOS DADOS E O R ELATÓRIO DE I MPACTO À P ROTEÇÃO DOS
DADOS (RIPD) SÃO INSTRUMENTOS QUE AUXILIAM NO CUMPRIMENTO DESTA
OBRIGAÇÃO ;

> ELIMINAR OS DADOS APÓS O TÉRMINO DO TRATAMENTO , SALVO QUANDO HOUVER

AUTORIZAÇÃO ESPECÍFICA PARA SUA CONSERVAÇÃO (ARTIGO 16 DA LGPD);

VIA DE REGRA APÓS O TÉRMINO DO TRATAMENTO , OS DADOS PESSOAIS DEVEM , SER ELIMINADOS .
ISSO NÃO É EXIGIDO QUANDO A PERMANÊNCIA DOS DADOS É NECESSÁRIA PARA QUE O CONTROLADOR
CUMPRA SUAS OBRIGAÇÕES LEGAIS ( PARA FINS DE COMPLIANCE OU KYC, POR EXEMPLO ).

CUMPRIDAS AS DIRETRIZES DA LEI E /OU SOB A SOLICITAÇÃO DO TITULAR , A TRANSFERÊNCIA DOS

DADOS A TERCEIROS É PERMITIDA NO LUGAR DE SUA EXCLUSÃO . ALÉM DISSO , CASO O CONTROLADOR
ANONIMIZE OS DADOS , É POSSÍVEL MANTÊ - LOS PARA USO ÚNICO E EXCLUSIVO (PARA FINS
ESTATÍSTICOS , POR EXEMPLO ).
 > ELABORAÇÃO DE RIPD, REFERENTE AO USO DOS DADOS, RESPEITADOS OS SEGREDOS
COMERCIAL E INDUSTRIAL (ARTIGO 38 DA LGPD);

> GARANTIR OS DIREITOS DOS TITULARES, DE FORMA CLARA , ADEQUADA E OBJETIVA

(INCISO VII DO ARTIGO 9° DA LGPD);

> DESENVOLVER , IMPLEMENTAR E FISCALIZAR AS BOAS PRÁTICAS E PADRÕES DE

GOVERNANÇA , ATRAVÉS DAS QUAIS SERÃO APLICADAS AS MEDIDAS DE SEGURANÇA
(ARTIGO 50 DA LGPD).

VII) OPERADOR: É AQUELE QUE REALIZA AS OPERAÇÕES NOS DADOS SEGUNDO AS INSTRUÇÕES
DO CONTROLADOR . TEM COMO DEVER SEGUIR À RISCA SUAS DETERMINAÇÕES , NÃO CABENDO
CONTROLAR OS DADOS, NEM ALTERAR SEU USO OU FINALIDADE . É QUEM EFETIVAMENTE
COLETA , ARMAZENA , COMPARTILHA , CLASSIFICA , ELIMINA , OU SEJA , TRATA OS DADOS . S UA
EXISTÊNCIA NÃO É OBRIGATÓRIA , DEPENDENDO , EM REGRA , DA DELEGAÇÃO DO
PROCESSAMENTO DOS DADOS PESSOAIS PELO CONTROLADOR ;

O OPERADOR TEM COMO FUNÇÃO PRINCIPAL EXECUTAR AS TAREFAS DEFINIDAS PELO

CONTROLADOR, CABENDO AINDA DESTACAR AS SEGUINTES ATRIBUIÇÕES:

> REGISTRAR AS OPERAÇÕES REALIZADAS E SUA MANUTENÇÃO ;

> OBEDECER ÀS INSTRUÇÕES DO CONTROLADOR ;
> SEGUIR AS REGRAS DE BOAS PRÁTICAS E GOVERNANÇA PREVISTAS NA LGPD;
> MANTER OS DADOS PESSOAIS PROTEGIDOS CONTRA INCIDENTES DE VAZAMENTO E USO
INDEVIDO .

VIII) ENCARREGADO: ESTE DEVE GARANTIR QUE A ORGANIZAÇÃO SEGUE AS LEIS QUE
PROTEGEM OS DADOS PESSOAIS DOS INDIVÍDUOS . SERÁ RESPONSABILIZADO QUANDO
POSSÍVEIS INCIDENTES OU SITUAÇÕES ILEGAIS OCORREREM ;

XI) A GENTES DE TRATAMENTO: O CONTROLADOR E O OPERADOR;

X) TRATAMENTO: TODA OPERAÇÃO REALIZADA COM DADOS PESSOAIS, COMO AS QUE SE

REFEREM À COLETA , PRODUÇÃO , RECEPÇÃO , CLASSIFICAÇÃO , UTILIZAÇÃO , ACESSO ,
REPRODUÇÃO , TRANSMISSÃO , DISTRIBUIÇÃO , PROCESSAMENTO , ARQUIVAMENTO ,
ARMAZENAMENTO , ELIMINAÇÃO , AVALIAÇÃO OU CONTROLE DA INFORMAÇÃO , MODIFICAÇÃO ,
COMUNICAÇÃO , TRANSFERÊNCIA , DIFUSÃO OU EXTRAÇÃO ;

XII) CONSENTIMENTO : MANIFESTAÇÃO LIVRE , INFORMADA E INEQUÍVOCA PELA QUAL O

TITULAR CONCORDA COM O TRATAMENTO DE SEUS DADOS PESSOAIS PARA UMA FINALIDADE
DETERMINADA ;
 XIII) BLOQUEIO : SUSPENSÃO TEMPORÁRIA DE QUALQUER OPERAÇÃO DE TRATAMENTO ,
MEDIANTE GUARDA DO DADO PESSOAL OU DO BANCO DE DADOS;

XIV) ELIMINAÇÃO : EXCLUSÃO DE DADO OU DE CONJUNTO DE DADOS ARMAZENADOS EM

BANCO DE DADOS , INDEPENDENTEMENTE DO PROCEDIMENTO EMPREGADO ;

XV) TRANSFERÊNCIA INTERNACIONAL DE DADOS : TRANSFERÊNCIA DE DADOS PESSOAIS PARA

PAÍS ESTRANGEIRO OU ORGANISMO INTERNACIONAL DO QUAL O PAÍS SEJA MEMBRO ;

XVI) USO COMPARTILHADO DE DADOS : COMUNICAÇÃO , DIFUSÃO , TRANSFERÊNCIA

INTERNACIONAL , INTERCONEXÃO DE DADOS PESSOAIS OU TRATAMENTO COMPARTILHADO DE
BANCOS DE DADOS PESSOAIS , POR ÓRGÃOS E ENTIDADES PÚBLICOS NO CUMPRIMENTO DE
SUAS COMPETÊNCIAS LEGAIS , ENTRE ESSES ENTES PRIVADOS , RECIPROCAMENTE COM
AUTORIZAÇÃO ESPECÍFICA , PARA UMA OU MAIS MODALIDADES DE TRATAMENTO PERMITIDAS
POR ESSES ENTES PÚBLICOS , OU ENTRE ENTES PRIVADOS .

XVII) RELATÓRIO DE IMPACTO À PROTEÇÃO DE DADOS PESSOAIS : DOCUMENTAÇÃO DO

CONTROLADOR QUE CONTÉM A DESCRIÇÃO DOS PROCESSOS DE TRATAMENTO DE DADOS
PESSOAIS QUE PODEM GERAR RISCOS ÀS LIBERDADES CIVIS E AOS DIREITOS FUNDAMENTAIS ,
BEM COMO MEDIDAS , SALVAGUARDAS E MECANISMOS DE MITIGAÇÃO DE RISCO .

XVIII) Ó RGÃO DE PESQUISA : ÓRGÃOS OU PESSOAS JURÍDICAS DA ADMINISTRAÇÃO PÚBLICA

DIRETA OU INDIRETA , PESSOAS JURÍDICAS PRIVADAS SEM FINS LUCRATIVOS , CONSTITUÍDAS DE
ACORDO COM A LEGISLAÇÃO BRASILEIRA , COM SEDE E JURISDIÇÕES NO PAÍS , INCLUINDO SUAS
CARACTERÍSTICAS INSTITUCIONAIS , SOCIOLÓGICAS , TECNOLÓGICAS E ESTATÍSTICAS .

XIX) AUTORIDADE NACIONAL: ÓRGÃO DA ADMINISTRAÇÃO PÚBLICA RESPONSÁVEL POR ZELAR,

PROGRAMAR E FISCALIZAR O CUMPRIMENTO DESTA LEI EM TODO O TERRITÓRIO NACIONAL .

 PRINCÍPIOS GERAIS DA PROTEÇÃO DE DADOS (ART . 6º)

I) FINALIDADE: TRATAMENTO PARA PROPÓSITOS LEGÍTIMOS , ESPECÍFICOS , EXPLÍCITOS E

INFORMADOS AO TITULAR , SEM POSSIBILIDADE DE TRATAMENTO POSTERIOR DE FORMA
INCOMPATÍVEL COM ESSAS FINALIDADES ;

II)ADEQUAÇÃO: COMPATIBILIDADE DO TRATAMENTO COM AS FINALIDADES INFORMADAS AO

TITULAR , DE ACORDO COM O CONTEXTO DO TRATAMENTO ;

III) NECESSIDADE: LIMITAÇÃO DO TRATAMENTO AO MÍNIMO NECESSÁRIO PARA A REALIZAÇÃO

DE SUAS FINALIDADES , COM ABRANGÊNCIA DOS DADOS PERTINENTES , PROPORCIONAIS E NÃO
EXCESSIVOS EM RELAÇÃO ÀS FINALIDADES DO TRATAMENTO DE DADOS ;
 IV) LIVRE ACESSO: GARANTIA , AOS TITULARES , DE CONSULTA FACILITADA E GRATUITA SOBRE A
FORMA E A DURAÇÃO DO TRATAMENTO , BEM COMO SOBRE A INTEGRALIDADE DE SEUS DADOS
PESSOAIS ;

> FINALIDADE PARA A QUAL O DADO ESTARÁ SENDO USADO ;

> FORMA E TEMPO DE UTILIZAÇÃO (PRESERVA-SE AQUI O SEGREDO COMERCIAL E
INDUSTRIAL );
> IDENTIFICAÇÃO, INCLUSIVE DE CONTATOS, DO CONTROLADOR E RESPONSABILIDADES DOS
AGENTES DE TRATAMENTO ENVOLVIDOS ;
> COMPARTILHAMENTO DE DADOS E SUA FINALIDADE ;

 REQUISITOS PARA O TRATAMENTO DOS DADOS PESSOAIS E SENSÍVEIS (ART . 7º E

11º)

A UTILIZAÇÃO DOS DADOS DEVE ESTAR FUNDAMENTADA EM UMA DAS HIPÓTESES PREVISTAS
NA NORMA , AS QUAIS TÊM SIDO CHAMADAS DE BASES LEGAIS PARA O TRATAMENTO .

ASSIM, OS FUNDAMENTOS DA LEI N°13.709/2018, QUE AUTORIZAM O TRATAMENTO ,

ENCONTRAM -SE PREVISTOS NO ARTIGO 7°, PARA OS DADOS PESSOAIS, E ARTIGO 11, PARA OS
DADOS PESSOAIS SENSÍVEIS .

COMO REGRA GERAL, APENAS SERÁ POSSÍVEL REALIZAR O TRATAMENTO QUANDO HOUVER
CONSENTIMENTO DO TITULAR . O CONSENTIMENTO DEVE SER EXPRESSO POR ESCRITO OU POR
OUTRAS FORMAS DE DESEJO DO TITULAR . AS CLÁUSULAS QUE ENVOLVEM CONSENTIMENTO
DEVEM SER SEPARADAS DAS DEMAIS , PERMITINDO QUE O TITULAR TENHA TOTAL CLAREZA
SOBRE A QUE ESTÁ CONSENTINDO . É NECESSÁRIO INVESTIR EM UMA LINGUAGEM CLARA E DE
FÁCIL COMPREENSÃO PARA GARANTIR QUE O TITULAR SAIBA EXATAMENTE COMO SERÁ O
TRATAMENTO DE SEUS DADOS PESSOAIS.

A LEI LEMBRA MAIS UMA VEZ QUE O CONSENTIMENTO DEVE SER SOLICITADO PARA UM
PROPÓSITO ESPECÍFICO . SOLICITAR CONSENTIMENTO DE UMA MANEIRA GERAL E NÃO
ESPECÍFICA É UMA VIOLAÇÃO DA LGPD, TODOS E QUAISQUER DADOS PESSOAIS SOLICITADOS E
RECOMENDADOS PARA PROCESSAMENTO DEVEM TER UMA FINALIDADE CLARA .

ALÉM DISSO , O TITULAR TEM O DIREITO DE RETIRAR O SEU CONSENTIMENTO A QUALQUER

MOMENTO SEM JUSTIFICAR A RECUSA DE TRATAMENTO DOS SEUS DADOS.

ENTRETANTO, EXISTEM SITUAÇÕES EM QUE SERÁ POSSÍVEL , OU ATÉ MESMO NECESSÁRIO ,

TRATAR OS DADOS AINDA QUE NÃO HAJA O CONSENTIMENTO DO TITULAR . NESTES CASOS ,
SERÁ PRECISO ENQUADRAR- SE EM UMA DAS BASES LEGAIS PREVISTAS NA LGPD:
 Autorização para Tratamento

Sem Consentimento do Titular

Bases Legais
Dados Pessoais Dados Pessoais Sensíveis

Artigo 7° Artigo 11º

Para cumprir uma obrigação legal ou regulatória.

Em âmbito trabalhista, as Convenções e Acordos Coletivos têm força

de lei e nesse sentido há debate sobre a possibilidade desses
instrumentos estabelecerem regras sobre proteção e uso de dados Sim Sim
Para execução de políticas públicas pela administração pública Sim Sim
Para utilização em estudos por órgão de pesquisa.

Neste caso, os dados, sempre que possível, devem ser anonimizados,

ou seja, não devem mais ser capazes de identificar, de forma
permanente, o seu titular Sim Sim

Para a execução de contrato ou algum procedimento preliminar ao

contrato, mas, neste último caso, apenas por solicitação do titular.

Como o contrato representa uma manifestação da vontade, entende-

se que, no momento da celebração, o titular já teve conhecimento e
autorizou a utilização dos seus dados Sim Não
Para o exercício regular de direitos: o objetivo é garantir a ampla
defesa, permitindo, por exemplo, que as partes possam produzir
provas utilizando dados pessoais. Sim Sim

Exercício regular de direito é a prática de uma conduta permitida por em processo judicial, em contrato, processo judicial,
lei administrativo ou arbitral administrativo ou arbitral
Para proteger a vida, ou a integridade física do titular, ou de terceiro;
ou

Para proteger a saúde do titular, exclusivamente, em procedimento

realizado por profissionais de saúde, serviços de saúde ou autoridade
sanitária Sim Sim

Para atender aos interesses legítimos do controlador ou de terceiro.

O legítimo interesse, entretanto, não permitirá o tratamento dos

dados quando se estiver diante de direitos e liberdades fundamentais,
sendo estes o direito à vida, à liberdade, à igualdade, à segurança e à
propriedade do titular, e que exijam a proteção dos dados pessoais Sim Não

Para a proteção do crédito, inclusive quanto ao disposto na legislação

pertinente.

Neste caso, não seria razoável, por exemplo, permitir que o titular
solicitasse a exclusão dos seus dados de cadastros como SPC e SERASA,
argumentando a falta de consentimento para este fim Sim Não

Para prevenção à fraude e à segurança do titular, nos processos de

identificação e autenticação de cadastro em sistemas eletrônicos.

A prevenção, entretanto, não permitirá o tratamento dos dados

quando se estiver diante de direitos e liberdades fundamentais, sendo
estes o direito à vida, à liberdade, à igualdade, à segurança e à
propriedade do titular, e que exijam a proteção dos dados pessoais Não Sim
 RESPEITANDO, EM TODOS OS CASOS, SEUS PRINCÍPIOS E DIREITOS DOS TITULARES DOS DADOS
(§ 6° DO ARTIGO 7° DA LGPD):
“A EVENTUAL DISPENSA DA EXIGÊNCIA DO CONSENTIMENTO NÃO DESOBRIGA OS AGENTES DE
TRATAMENTO DAS DEMAIS OBRIGAÇÕES PREVISTAS NESTA LEI, ESPECIALMENTE DA
OBSERVÂNCIA DOS PRINCÍPIOS GERAIS E DA GARANTIA DOS DIREITOS DO TITULAR .”

 ACESSO DO TITULAR AS INFORMAÇÕES SOBRE TRATAMENTO DE DADOS (ART . 9º)

COM A LGPD, FICOU RECONHECIDO QUE O CIDADÃO É O VERDADEIRO DONO DAS

INFORMAÇÕES QUE LHE DIZEM RESPEITO , COMO EXPRESSÃO DO SEU DIREITO CONSTITUCIONAL
À PRIVACIDADE E INTIMIDADE . I SSO SIGNIFICA QUE, EM GERAL , OS DADOS DE CADA PESSOA SÓ
SÃO FORNECIDOS SEGUNDO A SUA VONTADE .

OCORRE, ENTRETANTO , QUE, EM ALGUMAS RELAÇÕES DO DIA A DIA, É NECESSÁRIO

APRESENTAR INFORMAÇÕES PESSOAIS PARA QUE DETERMINADO ATO POSSA SER PRATICADO
(ART. 6º, INCISO IV). CITA -SE, POR EXEMPLO , DADOS CADASTRAIS PARA COMPRA DE
MEDICAMENTOS EM FARMÁCIAS.

POR ESSE MOTIVO , OBJETIVO DA LGPD É PROTEGER OS DADOS PESSOAIS, GARANTINDO

DIREITOS AOS TITULARES , EM TODOS OS CASOS, SENDO ELES (ART. 18º DA LGPD):

CONFIRMAÇÃO DA EXISTÊNCIA DE TRATAMENTO E ACESSO AOS DADOS QUE SÃO USADOS

(INCISO I E II): REPRESENTA O DIREITO DE SER INFORMADO DE QUE OS DADOS ESTÃO SENDO
USADOS E O CONHECIMENTO DE QUAIS DADOS O AGENTE DE TRATAMENTO TEM DO TITULAR .
AS INFORMAÇÕES DEVEM SER CLARAS , POR MEIO ELETRÔNICO OU IMPRESSO À ESCOLHA DO
TITULAR (ART. 19º):

> DE IMEDIATO : EM FORMATO SIMPLIFICADO ;

> NO PRAZO DE 15 DIAS , CONTADOS DA DATA DO REQUERIMENTO DO TITULAR : POR
DECLARAÇÃO COMPLETA , INDICANDO ORIGEM, INEXISTÊNCIA DE REGISTRO , CRITÉRIOS
UTILIZADOS E FINALIDADE DO TRATAMENTO , SENDO RESPEITADO O SEGREDO
COMERCIAL E INDUSTRIAL .

CABE À ANPD REGULAMENTAR OS PRAZOS PARA SETORES ESPECÍFICOS (ARTIGO 19, § 3°, DA
LGPD);

CORREÇÃO (INCISO III): DIREITO DE CORRIGIR DADOS INCOMPLETOS , INEXATOS OU

DESATUALIZADOS ;

ANONIMIZAÇÃO (INCISO IV): DIREITO DE BLOQUEAR, ELIMINAR OU TORNAR ANÔNIMOS OS

DADOS DESNECESSÁRIOS , EXCESSIVOS OU TRATADOS EM VIOLAÇÃO À LGPD. CASO O
CONTROLADOR NÃO POSSA REALIZAR A ELIMINAÇÃO DE FORMA IMEDIATA , DEVE COMUNICAR
AO TITULAR AS RAZÕES QUE O IMPEDEM DE ADOTAR ESTA MEDIDA . SÃO MOTIVOS PARA NÃO
ELIMINAÇÃO DOS DADOS : CUMPRIMENTO DE OBRIGAÇÃO LEGAL OU REGULATÓRIA PELO
CONTROLADOR; ESTUDO POR ÓRGÃO DE PESQUISA , GARANTIDA , SEMPRE QUE POSSÍVEL , A
ANONIMIZAÇÃO DOS DADOS PESSOAIS ; TRANSFERÊNCIA A TERCEIRO , DESDE QUE RESPEITADOS
OS REQUISITOS DE TRATAMENTO DE DADOS DISPOSTOS NESTA LEI; OU USO EXCLUSIVO DO
CONTROLADOR, VEDADO SEU ACESSO POR TERCEIRO , E DESDE QUE ANONIMIZADOS OS DADOS;

PORTABILIDADE (INCISO V): DIREITO DE TRANSFERIR OS DADOS DE UM PRESTADOR DE

SERVIÇOS PARA OUTRO, MEDIANTE PEDIDO EXPRESSO DO TITULAR , SENDO RESPEITADOS OS
SEGREDOS COMERCIAIS E INDUSTRIAIS . N ÃO SERÃO TRANSFERIDOS OS DADOS QUE JÁ TENHAM
SIDO ANONIMIZADOS PELO CONTROLADOR (§7° DO ARTIGO 18º DA LGPD). TRATA -SE AQUI
DO DIREITO DO TITULAR DE GERENCIAR E REUTILIZAR SEUS DADOS SEGUNDO A SUA VONTADE.
A ANPD PODERÁ REGULAMENTAR OS PADRÕES PARA VIABILIZAR ESSA TRANSFERÊNCIA
(ARTIGO 40º DA LGPD). ISTO PORQUE A LGPD NÃO EXIGE QUE O CONTROLADOR DE
ORIGEM MANTENHA SISTEMAS OPERACIONAIS COMPATÍVEIS COM O CONTROLADOR QUE
RECEBERÁ OS DADOS, O QUE, NESTE MOMENTO , PODE REPRESENTAR UMA DIFICULDADE NO
ATENDIMENTO DESTE DIREITO .

PARA QUE O DIREITO À PORTABILIDADE OCORRA , É IMPORTANTE OBSERVAR QUE:

> NESTA TRANSFERÊNCIA NÃO CONTÉM DADOS DE TERCEIROS ;

> A TRANSMISSÃO DOS DADOS PESSOAIS DO TITULAR DEVE SER REALIZADA DE FORMA
ESTRUTURADA E EM FORMATO QUE PERMITA A SUA UTILIZAÇÃO SUBSEQÜENTE ;
> DEVEM SER UTILIZADOS MÉTODOS SEGUROS DE TRANSFERÊNCIA DE DADOS PESSOAIS.

CONSENTIMENTO (INCISOS VI, VIII E IX): É A FORMA EM QUE O TITULAR CONCORDA COM
USO DOS SEUS DADOS . TEM GRANDE IMPORTÂNCIA PARA A LGPD, SENDO CONSIDERADO , EM
MUITOS CASOS, COMO REGRA . P ARA SER VÁLIDO , DEVE CORRESPONDER A UMA
MANIFESTAÇÃO LIVRE , INFORMADA , CONSCIENTE E DIRECIONADA PARA UMA FINALIDADE
DETERMINADA . ENTRETANTO , A NORMA TRAZ EXCEÇÕES EM QUE HÁ AUTORIZAÇÃO LEGAL
PARA TRATAMENTO DOS DADOS SEM O CONSENTIMENTO DO TITULAR , PREVISTOS NOS
ARTIGOS 7° E 11.

PORTANTO, O TITULAR TEM O DIREITO DE RECEBER INFORMAÇÕES SOBRE A NECESSIDADE OU

DESACORDOS, RECEBER UMA CÓPIA ELETRÔNICA DE SEUS DADOS DE USO COM BASE NO
CONSENTIMENTO , REVOGÁ -LO, SOLICITAR A EXCLUSÃO E RECEBÊ -LO GRATUITAMENTE EM CASO
DE NÃO CONFORMIDADE COM LGPD (§2° DO ARTIGO 18 E §3° DO ARTIGO 19).

É IMPORTANTE , PORTANTO , IMPLEMENTAR A GESTÃO DE CONSENTIMENTOS, ONDE SERÃO

REGISTRADOS , DE FORMA ESTRUTURADA , OS TRATAMENTOS DE DADOS REALIZADOS COM BASE
NESSA FINALIDADE , DE MODO QUE ESTA SOLICITAÇÃO DE REVOGAÇÃO POSSA SER ATENDIDA DE
MODO ÁGIL E EFICAZ .

DIREITO DE PETIÇÃO (ARTIGO 18, § 1°): O TITULAR PODE RECLAMAR JUNTO À ANPD, E AOS
ORGANISMOS DE DEFESA DO CONSUMIDOR , A UTILIZAÇÃO INDEVIDA DOS SEUS DADOS
PESSOAIS , INCLUSIVE SE OPOR AO USO, QUANDO FUNDAMENTADO EM QUALQUER HIPÓTESE
QUE DISPENSE O CONSENTIMENTO (§§ 1° E 8° DO ARTIGO 18 DA LGPD);

REVISÃO DE DECISÕES (A RT. 20): DIREITO DE SOLICITAR ESCLARECIMENTOS SOBRE OS

CRITÉRIOS E PROCEDIMENTOS UTILIZADOS POR INTELIGÊNCIA ARTIFICIAL (SEM PARTICIPAÇÃO
HUMANA) DESTINADOS A DEFINIR COMPORTAMENTOS E RESULTADOS, POR MEIO DE
ALGORITMOS , INCLUSIVE PARA ESTABELECER PERFIL PESSOAL , PROFISSIONAL , DE CONSUMO , DE
CRÉDITO OU OS ASPECTOS DE SUA PERSONALIDADE . CONSEQUENTEMENTE É GARANTIDO
TAMBÉM AO TITULAR O DIREITO DE REQUERER A REVISÃO DAS DECISÕES TOMADAS
UNICAMENTE COM BASE NESSES RESULTADOS. EM RESPOSTA , O CONTROLADOR DEVE
FORNECER INFORMAÇÕES CLARAS E ADEQUADAS SOBRE OS PARÂMETROS E MÉTODOS
UTILIZADOS , BUSCANDO - SE , COM ISSO , EVITAR TRATAMENTOS DISCRIMINATÓRIOS POR
SISTEMAS AUTOMATIZADOS . CABERÁ A ANPD FISCALIZAR OS RESULTADOS QUANDO , POR
SEGREDO COMERCIAL E INDUSTRIAL , AS INFORMAÇÕES NÃO FOREM FORNECIDAS ;

O EXERCÍCIO DESSES DIREITOS OCORRERÁ POR MEIO DE REQUERIMENTO EXPRESSO DO TITULAR

OU SEU REPRESENTANTE LEGAL AO OPERADOR /CONTROLADOR DOS DADOS , SEM CUSTO .

EM RELAÇÃO AO PRAZO DE RESPOSTA , O § 4° DO ARTIGO 18 ESTABELECE QUE A SOLICITAÇÃO

DEVA SER ATENDIDA DE IMEDIATO , CABENDO JUSTIFICATIVA CASO A RESPOSTA NÃO SEJA
POSSÍVEL . O ARTIGO 19.º ESTIPULA QUE , PARA OS PEDIDOS DE CONFIRMAÇÃO DA EXISTÊNCIA
DE DADOS PESSOAIS OU DE DIREITOS DE ACESSO , O PEDIDO DEVE SER APRESENTADO EM
FORMATO SIMPLIFICADO DE IMEDIATO OU NO PRAZO DE 15 DIAS , A CONTAR DA DATA DE
RECEPÇÃO DO PEDIDO PELO REQUERENTE, ATRAVÉS DE DECLARAÇÃO CLARA E
COMPLETA, QUE INDIQUE A ORIGEM DOS DADOS,A INEXISTÊNCIA DE
REGISTRO, OS CRITÉRIOS UTILIZADOS E A FINALIDADE DO TRATAMENTO,
OBSERVADOS OS SEGREDOS COMERCIAL E INDUSTRIAL.

OBSERVA -SE QUE A EXPRESSÃO "DE IMEDIATO " DISPOSTA NA NORMA NÃO DEFINE COM
PRECISÃO O LAPSO TEMPORAL PARA A RESPOSTA DOS AGENTES DE TRATAMENTO AO
REQUERIMENTO DO TITULAR . COMO MEDIDA DE CAUTELA E ATÉ REGULAMENTAÇÃO DA ANPD
(ARTIGO 18, §3°), É PRUDENTE QUE A MESMA SEJA FORNECIDA NO MENOR PRAZO POSSÍVEL .
PARA ISSO , É ESSENCIAL A CRIAÇÃO DE PROCEDIMENTOS ESPECÍFICOS PARA GESTÃO DOS
REQUERIMENTOS DOS TITULARES CAPAZES DE ATENDÊ- LOS COM EFICÁCIA E AGILIDADE. NESTE
CONTEXTO , O PROCESSO DE MAPEAMENTO CONCLUÍDO É IMPRESCINDÍVEL , JÁ QUE ATRAVÉS
DELE SERÁ POSSÍVEL IDENTIFICAR QUE DADOS POSSUEM E PARA QUAIS FINALIDADES.
 CASO NÃO SEJA POSSÍVEL ATENDER À SOLICITAÇÃO , CABE AO CONTROLADOR JUSTIFICAR OS
MOTIVOS AO TITULAR DOS DADOS E, SE FOR O CASO , INDICAR QUEM É O AGENTE DE
TRATAMENTO RESPONSÁVEL (§§ 3°, 4° E 5° DO ARTIGO 18 DA LGPD).

PARA ATENDER A ESSES DIREITOS, DEVE O CONTROLADOR :

1. CRIAR UM CANAL DE COMUNICAÇÃO DE FÁCIL ACESSO E SEGURO AOS TITULARES ,

CAPAZ DE CONFIRMAR SUA AUTENTICIDADE . OS CONTROLADORES PODEM , POR
EXEMPLO , INSTITUIR ENDEREÇOS DE E -MAIL ESPECÍFICOS PARA O RECEBIMENTO DE
CADA TIPO DE PEDIDO DOS TITULARES OU OUTRO SISTEMA QUE CLASSIFIQUE OS
REQUERIMENTOS , PERMITINDO MELHOR GERENCIAMENTO PELOS AGENTES DE
TRATAMENTO ;

2. ESTABELECER PROCEDIMENTOS EFICIENTES , ATRAVÉS DE UM SISTEMA DE REGISTRO DE

REQUERIMENTOS DOS DIREITOS DOS TITULARES , DE FORMA CATEGORIZADA ,
CONTENDO A IDENTIFICAÇÃO DO TITULAR , A DATA DO PEDIDO E O STATUS DE
CUMPRIMENTO PARA ASSEGURAR QUE ESTÃO SENDO ATENDIDOS . IMPORTANTE
LEMBRAR QUE REPRESENTA INADEQUAÇÃO À LGPD O CONTROLADOR CONTINUAR
UTILIZANDO E TRATANDO DADOS QUE FORAM OBJETO DE UM PEDIDO DE ELIMINAÇÃO ,
BLOQUEIO OU ANONIMIZAÇÃO , POR EXEMPLO .

3. INFORMAR, IMEDIATAMENTE , AOS AGENTES DE TRATAMENTO COM QUEM TENHA

COMPARTILHADO OS DADOS A NECESSIDADE DE REALIZAREM O MESMO
PROCEDIMENTO DE CORREÇÃO , ELIMINAÇÃO , ANONIMIZAÇÃO OU BLOQUEIO DOS
DADOS . ESTA COMUNICAÇÃO APENAS SERÁ DISPENSADA QUANDO FOR ,
COMPROVADAMENTE , IMPOSSÍVEL OU VENHA A GERAR UM ESFORÇO
DESPROPORCIONAL (§6° DO ARTIGO 18 DA LGPD). F ICA EVIDENTE , NESTE PONTO , A
NECESSIDADE DE CONTRATAR PARCEIROS QUE TAMBÉM ESTEJAM EM CONFORMIDADE
COM A PROTEÇÃO DE DADOS , PARA QUE TENHAM COMPROMETIMENTO E
PROCEDIMENTOS INSTITUCIONALIZADOS PARA ESTES FINS .

 SEGURANÇA DE DADOS PESSOAIS, GOVERNANÇA E BOAS PRÁTICAS

SEGURANÇA (ART . 46º): TODOS OS SISTEMAS E BASES DE DADOS USADOS PARA O

TRATAMENTO DEVEM SER ESTRUTURADOS LEVANDO EM CONSIDERAÇÃO AS DIRETRIZES DE
SEGURANÇA DISPOSTAS PELA LGPD, ASSIM COMO OS PADRÕES DE BOAS PRÁTICAS E DE
GOVERNANÇA PROPOSTOS PELA LEI E DEMAIS NORMAS LEGISLATIVAS .

BOAS PRÁTICAS E GOVERNANÇA (A RT. 50º): A LGPD RECOMENDA QUE OS AGENTES DE

TRATAMENTO ESTABELEÇAM REGRAS DE BOAS PRÁTICAS E DE GOVERNANÇA SOBRE SEGURANÇA
 E PROTEÇÃO DE DADOS . O DOCUMENTO PODE INCLUIR , POR EXEMPLO , OS PROCEDIMENTOS E
OS PADRÕES TÉCNICOS DA ORGANIZAÇÃO , COMO LIDAR COM RECLAMAÇÕES E PETIÇÕES DOS
TITULARES , AS AÇÕES EDUCATIVAS TOMADAS DENTRO DA EMPRESA , OS ENVOLVIDOS NOS
TRATAMENTOS , PROCESSOS PARA MITIGAR RISCOS ETC .

SE ESCOLHEREM FAZER ISSO , É IMPORTANTE LEVAR EM CONSIDERAÇÃO TODAS AS DIRETRIZES

DA LGPD, GARANTINDO ASSIM QUE O DOCUMENTO ESTÁ ALINHADO COM A LEI E
EFETIVAMENTE AJUDARÁ O AGENTE DE TRATAMENTO A OBEDECÊ -LA.

APESAR DE NÃO SER OBRIGATÓRIA , A EXISTÊNCIA DE TAIS DOCUMENTOS E SUA RESPECTIVA

APLICAÇÃO NO DIA A DIA DA INSTITUIÇÃO SERÁ LEVADA EM CONSIDERAÇÃO PELA ANPD SE
FOR NECESSÁRIO DETERMINAR SANÇÕES PARA INCIDENTES OU FALHAS QUE VIEREM A
OCORRER .

O ARTIGO RECOMENDA AINDA QUE, APÓS ANALISAR O VOLUME E A SENSIBILIDADE DOS DADOS
TRATADOS E A GRAVIDADE DOS RISCOS ENVOLVIDOS , O CONTROLADOR PODE IMPLEMENTAR
PROGRAMAS DE GOVERNANÇA INTERNOS PARA DIVULGAR AS BOAS PRÁTICAS DE PROTEÇÃO DE
DADOS , QUE DEVEM SER APLICADAS A TODOS OS DADOS PESSOAIS COLETADOS, E AS POLÍTICAS
E MEDIDAS PREVENTIVAS ESTABELECIDAS . O PROGRAMA DEVE SER CONSTRUÍDO TAMBÉM DE
ACORDO COM A ESTRUTURA DA ORGANIZAÇÃO E VISAR A CONSTRUÇÃO DE RELAÇÕES DE
CONFIANÇA COM O TITULAR — VALORIZANDO , PORTANTO , A TRANSPARÊNCIA E A CLAREZA
NAS COMUNICAÇÕES.

A LGPD APONTA AINDA A IMPORTÂNCIA DE QUE TAL PROGRAMA INCLUA PLANOS DE

RESPOSTA E REMEDIAÇÃO PARA CASOS DE INCIDENTES E QUE SEJA REAVALIADO E ATUALIZADO
COM FREQÜÊNCIA . SE A ANPD ASSIM PEDIR , SERÁ NECESSÁRIO COMPROVAR A EFICÁCIA DO
PROGRAMA .

 RESPONSABILIDADE DE DANO AOS DADOS - CONTROLADOR /OPERADOR (ART . 42º)

O CONTROLADOR OU O OPERADOR QUE , EM RAZÃO DO EXERCÍCIO DE ATIVIDADE DE

TRATAMENTO DE DADOS PESSOAIS, CAUSAREM DANO PATRIMONIAL , MORAL , INDIVIDUAL OU
COLETIVO , EM VIOLAÇÃO À LEGISLAÇÃO DE PROTEÇÃO DE DADOS PESSOAIS , É OBRIGADO A
REPARÁ -LO.

I) O OPERADOR RESPONDE SOLIDARIAMENTE PELOS DANOS CAUSADOS PELO TRATAMENTO

QUANDO DESCUMPRIR AS OBRIGAÇÕES DA LEGISLAÇÃO DE PROTEÇÃO DE DADOS OU QUANDO
NÃO TIVER SEGUIDO AS INSTRUÇÕES LÍCITAS DO CONTROLADOR , HIPÓTESE EM QUE O
OPERADOR EQUIPARA - SE AO CONTROLADOR, SALVO NOS CASOS DE EXCLUSÃO PREVISTOS NO
ART . 43 DESTA LEI,
 II) OS CONTROLADORES QUE ESTIVEREM DIRETAMENTE ENVOLVIDOS NO TRATAMENTO DO
QUAL DECORRERAM DANOS AO TITULAR DOS DADOS RESPONDEM SOLIDARIAMENTE , SALVO
NOS CASOS DE EXCLUSÃO PREVISTOS NO ART . 43 DESTA LEI.

 RESPONSABILIDADE DE DANO AOS DADOS - TITULAR (A RT. 43º)

OS AGENTES DE TRATAMENTO SÓ NÃO SERÃO RESPONSABILIZADOS QUANDO PROVAREM :

I) QUE NÃO REALIZARAM O TRATAMENTO DE DADOS PESSOAIS QUE LHES É ATRIBUÍDO ;

II) QUE, EMBORA TENHAM REALIZADO O TRATAMENTO DE DADOS PESSOAIS QUE LHES É
ATRIBUÍDO , NÃO HOUVE VIOLAÇÃO À LEGISLAÇÃO DE PROTEÇÃO DE DADOS ;

III) QUE O DANO É DECORRENTE DE CULPA EXCLUSIVA DO TITULAR DOS DADOS OU DE

TERCEIRO .

IRREGULARIDADE NO TRATAMENTO DE DADOS (A RT. 44º)

O TRATAMENTO DE DADOS PESSOAIS SERÁ IRREGULAR QUANDO DEIXAR DE OBSERVAR A
LEGISLAÇÃO OU QUANDO NÃO FORNECER A SEGURANÇA QUE O TITULAR DELE PODE ESPERAR,
CONSIDERADAS AS CIRCUNSTÂNCIAS RELEVANTES , ENTRE AS QUAIS:

I) O MODO PELO QUAL É REALIZADO ;

II) O RESULTADO E OS RISCOS QUE RAZOAVELMENTE DELE SE ESPERAM ;

III) AS TÉCNICAS DE TRATAMENTO DE DADOS PESSOAIS DISPONÍVEIS À ÉPOCA EM QUE FOI

REALIZADO .

 RESPONSÁVEL PELA FISCALIZAÇÃO DO CUMPRIMENTO DA LEI

AUTORIDADE NACIONAL (ART. 5º, XIX E ART. 55° VETADO ): ÓRGÃO DA ADMINISTRAÇÃO
PÚBLICA INDIRETA RESPONSÁVEL POR ZELAR , IMPLEMENTAR E FISCALIZAR O CUMPRIMENTO
DESTA LEI.

 SANÇÕES ADMINISTRATIVAS PREVISTAS NA LEI (Art. 52º; 53º; 54º; 55º)

ARTIGO 52

I) ADVERTÊNCIA , COM INDICAÇÃO DE PRAZO PARA ADOÇÃO DE MEDIDAS CORRETIVAS;

 II) MULTA SIMPLES, DE ATÉ 2% (DOIS POR CENTO ) DO FATURAMENTO DA PESSOA
JURÍDICA DE DIREITO PRIVADO , GRUPO OU CONGLOMERADO NO BRASIL NO SEU ÚLTIMO
EXERCÍCIO , EXCLUÍDO OS TRIBUTOS, LIMITADA , NO TOTAL , A R$ 50.000.000,00
(CINQUENTA MILHÕES DE REAIS) POR INFRAÇÃO;

III) MULTA DIÁRIA, OBSERVADO O LIMITE TOTAL A QUE SE REFERE O INCISO II;

IV) PUBLICIZAÇÃO DA INFRAÇÃO APÓS DEVIDAMENTE APURADA E CONFIRMADA A SUA

OCORRÊNCIA ;

V) BLOQUEIO DOS DADOS PESSOAIS A QUE SE REFERE À INFRAÇÃO ATÉ A SUA

REGULARIZAÇÃO ;

VI) ELIMINAÇÃO DOS DADOS PESSOAIS A QUE SE REFERE À INFRAÇÃO .

ARTIGO 53
A ANPD DEFINIRÁ AS METODOLOGIAS EXATAS PARA CALCULAR O VALOR -BASE DAS MULTAS,
QUE DEVERÁ IR PARA CONSULTA PÚBLICA ANTES DE SER IMPLEMENTADA . AS METODOLOGIAS
DEVEM SER CLARAS E DETALHADAS , DETERMINANDO TAMBÉM O QUE LEVARÁ À SANÇÃO DE
MULTA DIÁRIA OU SIMPLES . OS AGENTES DE TRATAMENTO DEVEM TER ACESSO PRÉVIO ÀS
METODOLOGIAS.

ARTIGO 54
O VALOR DEFINIDO PARA A MULTA DIÁRIA DEVE SER ESTABELECIDO DE ACORDO COM A
GRAVIDADE DO INCIDENTE E COM A EXTENSÃO DOS DANOS DECORRENTES . AO ESTABELECER A
MULTA , AANPD DEVE INCLUIR A OBRIGAÇÃO QUE O AGENTE DEVE CUMPRIR PARA SEU
ENCERRAMENTO , ALÉM DE UM PRAZO RAZOÁVEL PARA ISSO E DE QUAL PASSARÁ A SER O
VALOR DA MULTA DIÁRIA CASO NÃO SEJA CUMPRIDO .

ARTIGO 55
ESTE ARTIGO CRIA A AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS (ANPD),
INICIALMENTE VETADA , MAS DEPOIS RETOMADA . O ÓRGÃO DA ADMINISTRAÇÃO PÚBLICA
FEDERAL FARÁ PARTE DA PRESIDÊNCIA DA R EPÚBLICA E É DE NATUREZA TRANSITÓRIA — OU
SEJA , O P ODER E XECUTIVO PODE TRANSFORMÁ - LA EM ENTIDADE DA ADMINISTRAÇÃO PÚBLICA
FEDERAL INDIRETA , SENDO ENTÃO SUBMETIDA A REGIME AUTÁRQUICO ESPECIAL , MAS
MANTENDO O VÍNCULO À PRESIDÊNCIA .

COM AUTONOMIA TÉCNICA E DECISÓRIA , A ANPD SERÁ FORMADA POR CONSELHO DIRETOR,
CONSELHO NACIONAL DE PROTEÇÃO DE DADOS E PRIVACIDADE , CORREGEDORIA E
OUVIDORIA , ALÉM DE UNIDADES ADMINISTRATIVAS E UNIDADES ESPECIALIZADAS E UM ÓRGÃO
PRÓPRIO DE ASSESSORAMENTO JURÍDICO .
O CONSELHO DIRETOR SERÁ COMPOSTO POR UM DIRETOR-PRESIDENTE E OUTROS QUATRO
DIRETORES , NOMEADOS PELO P RESIDENTE DA R EPÚBLICA E SUJEITOS A APROVAÇÃO DO
SENADO . ELES TERÃO MANDATOS DE 4 ANOS E SERÃO ESCOLHIDOS ENTRE CIDADÃOS
BRASILEIROS ALTAMENTE ESPECIALIZADOS NA ÁREA A QUE SEUS CARGOS SE REFEREM .

ENQUANTO A ANPD NÃO CONCLUI SEU PROCESSO DE ENTRADA EM VIGOR, O ÓRGÃO SERÁ
AUXILIADO PELA CASA CIVIL DA PRESIDÊNCIA DA R EPÚBLICA . O REGIME INTERNO DA ANPD,
POR SUA VEZ , SERÁ ESTABELECIDO PELO PRÓPRIO C ONSELHO DIRETOR , QUE TAMBÉM
INDICARÁ PESSOAS PARA OS CARGOS EM COMISSÃO E PARA FUNÇÕES DE CONFIANÇA PARA
POSTERIOR APROVAÇÃO DO DIRETOR-PRESIDENTE.

AS RESPONSABILIDADES DA ANPD INCLUEM:

> ZELAR PELA PROTEÇÃO DOS DADOS PESSOAIS;

> ELABORAR A POLÍTICA NACIONAL DE PROTEÇÃO DE DADOS PESSOAIS E DA
PRIVACIDADE ;
> FISCALIZAR A APLICAÇÃO DA LGPD E DETERMINAR SANÇÕES PARA CASOS DE
INFRAÇÃO ;
> AVALIAR PETIÇÕES E RECLAMAÇÕES DE TITULARES ;
> FOMENTAR A CONSCIENTIZAÇÃO E CONHECIMENTO SOBRE PROTEÇÃO E SEGURANÇA
DE DADOS PESSOAIS ENTRE A POPULAÇÃO ;
> ESTIMULAR A ADOÇÃO DE PADRÕES QUE FACILITEM O CONTROLE DOS TITULARES
SOBRE SEUS DADOS ;
> PROMOVER AÇÕES INTERNACIONAIS DE COOPERAÇÃO ENTRE AUTORIDADES DE
PROTEÇÃO DE DADOS;
> ESTABELECER AS MEDIDAS PARA , QUANDO NECESSÁRIO, DIVULGAR OPERAÇÕES DE
TRATAMENTO DE DADOS ;
> SOLICITAR INFORMAÇÕES SOBRE TRATAMENTOS DE DADOS AO PODER PÚBLICO A FIM
DE GARANTIR O CUMPRIMENTO DA LGPD;
> ELABORAR RELATÓRIOS ANUAIS SOBRE SUAS ATIVIDADES , QUE DEVE INCLUIR DETALHE
SOBRE A RECEITA E AS DESPESAS DO ÓRGÃO ;
> ESTABELECER REGULAMENTOS E PROCEDIMENTOS SOBRE PROTEÇÃO E PRIVACIDADE DE
DADOS E RELATÓRIOS DE IMPACTO DIANTE DE TRATAMENTOS QUE REPRESENTEM ALTO
RISCO;
> REALIZAR AUDITORIAS PARA VERIFICAR O CUMPRIMENTO DA LGPD POR PARTE DOS
AGENTES DE TRATAMENTO , INCLUINDO OS DO PODER PÚBLICO ;
> ADAPTAR NORMAS, ORIENTAÇÕES E PROCESSOS PARA ATENDER ÀS NECESSIDADES
ESPECÍFICAS DE MICROEMPRESAS , EMPRESAS DE PEQUENO PORTE E INICIATIVAS
DISRUPTIVAS , INCLUINDO STARTUPS E EMPRESAS DE INOVAÇÃO , A FIM DE AUXILIÁ - LAS
NA ADEQUAÇÃO E CUMPRIMENTO DA LGPD;
 > GARANTIR A CLAREZA, FACILITAÇÃO , TRANSPARÊNCIA E ACESSIBILIDADE DAS
INFORMAÇÕES NO QUE SE REFERE AO TRATAMENTO DE DADOS DE IDOSOS;
> PROGRAMAR MEIOS PRÁTICOS E FACILITADOS PARA QUE TITULARES POSSAM
REGISTRAR RECLAMAÇÕES SOBRE O TRATAMENTO DE SEUS DADOS , INCLUSIVE PELA
INTERNET ;
> COLOCAR SEUS REGULAMENTOS E NORMAS PARA CONSULTA PÚBLICA E ANÁLISES DE
IMPACTO REGULATÓRIO .
> QUANDO O ASSUNTO É PROTEÇÃO , PRIVACIDADE E TRATAMENTO DE DADOS PESSOAIS,
A ANPD PREVALECE SOBRE OUTRAS ENTIDADES DA ADMINISTRAÇÃO PÚBLICA . PARA
ARRECADAR RECEITA , A ANPD DEPENDERÁ DO ORÇAMENTO GERAL DA UNIÃO ;
DOAÇÕES; VENDA OU ALUGUEL DE BENS E IMÓVEIS DE QUE FOR DONA; RENDIMENTOS
ADVINDOS DA APLICAÇÃO DE SUAS RECEITAS ; RECURSOS ORIGINADOS DE ACORDOS OU
CONVÊNIOS COM OUTRAS ENTIDADES; E VENDA DE PUBLICAÇÕES E MATERIAIS
TÉCNICOS .

 A VEZ DA TECNOLOGIA NA ADEQUAÇÃO À LGPD

A COORDENAÇÃO COM A CONFORMIDADE LGPD ESTÁ INCLUÍDA EM OUTRAS ATIVIDADES

IMPORTANTES , COM FOCO NA ANÁLISE DE RISCO RELACIONADO ÀS FRAQUEZAS NATURAIS DA
EMPRESA QUE MERECEM INVESTIGAÇÕES INTERNAS ESPECÍFICAS . DEPOIS DE COMPREENDER OS
PONTOS FRACOS E OS RISCOS DA EMPRESA , É MAIS FÁCIL E BARATO DESENVOLVER UM PLANO
DE AÇÃO PROJETADO PARA REDUZIR AS PREOCUPAÇÕES.

QUANDO O TITULAR FORNECER SEUS DADOS À EMPRESA , ELE DEVE SABER COMO LIDAR COM
AS INFORMAÇÕES E QUAIS AS VANTAGENS QUE OBTERÁ NESTA OPERAÇÃO , E SE CERTIFICAR DE
QUE OUTRAS PESSOAS NÃO TERÃO ACESSO AOS DADOS .
DESTA FORMA , O DADO TEM SEU CICLO DE VIDA COMPLETO , NO QUAL É COLETADO ,
UTILIZADO E POSTERIORMENTE EXCLUÍDO .

COM ESSE CONHECIMENTO EM MÃOS E ENTENDENDO O NÍVEL DE EXPOSIÇÃO AO RISCO

REFERENTE ÀS ÁREAS DE TECNOLOGIA E SEGURANÇA DA INFORMAÇÃO SOBRE CADA ETAPA DO
CICLO DE VIDA , A ORGANIZAÇÃO PODERÁ ENTÃO AVALIAR QUAIS AS MELHORES TECNOLOGIAS
QUE ATENDEM ÀS NECESSIDADES DE PROTEÇÃO DOS DADOS DURANTE ESTE CICLO ,
ENTENDENDO OS RISCOS , AS ARQUITETURAS , AS INTEGRAÇÕES E AS PLATAFORMAS, ENTRE
OUTROS .

 VIGÊNCIA
A LEI Nº 13.709/2018 FOI PUBLICADA EM 15.08.2018 COM A PREVISÃO PARA ENTRAR EM
VIGOR, EM PRINCÍPIO , NO DIA 18.02.2020, CONFORME A REDAÇÃO ORIGINAL DO ARTIGO
65. E NTRETANTO , EM RAZÃO DE DIVERSAS ALTERAÇÕES NA LEGISLAÇÃO, SUA VIGÊNCIA FOI
DIVIDIDA EM FASES , CONFORME SE OBSERVA ABAIXO :