A RELAÇÃO ENTRE COMPLIANCE E TECNOLOGIA DA INFORMAÇÃO E A

APLICAÇÃO DA LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS (LGPD)

Maria Fernanda Leal Maymone1

Daniel Freire e Almeida 2
Rebeca Carneiro Costa Moura Salgado3

Introdução
A Internet trilhou seus primeiros passos em 1969, a partir da criação da ARPANET
(Advanced Research Projects Agency Network), que tinha a finalidade de atender o
Departamento de Defesa dos Estados Unidos da América. A partir de então, as conexões
em rede cresceram significativamente até a criação da Word Wide Web (WWW), no
início da década de 1990, pelo físico Tim Berners-Lee, ficando mundialmente conhecida
como “Internet”, revolucionando as relações digitais no mundo todo.

1
Maria Fernanda Leal Maymone:
-Doutoranda em Direito Ambiental Internacional pela Universidade Católica de Santos - UNISANTOS,
desde (2021).
-Especialista em Gestão Pública Municipal na Universidade Federal de Mato Grosso do Sul - UFMS (2016).
-Mestra em Desenvolvimento Local (2008) e Graduada em Direito (1989) ambas pela Universidade
Católica Dom Bosco - UCDB.
-No período de 1982 até 2018, exerceu atividades em algumas instituições públicas tais como:
Subsecretaria de Apoio à Gestão Estratégica do Governo de MS, Procuradoria Geral do Estado do Mato
Grosso do Sul e no Instituto Interamericano de Cooperação para a Agricultura (IICA) e prefeituras
municipais como consultora.

2
** Daniel Freire e Almeida:
-Pós-Doutor em Direito Internacional pela Georgetown University, Law Center, em Washington DC,
Estados Unidos da América (2015-2017).
-Doutor em Direito Internacional pela Faculdade de Direito da Universidade de Coimbra, em Portugal,
com reconhecimento e revalidação pela Universidade de São Paulo-USP (2008-2012).
-Mestre em Direito Internacional pela Faculdade de Direito da Universidade de Coimbra, em Portugal,
com reconhecimento e revalidação pela Universidade de São Paulo-USP (1999-2002).
-Professor Permanente do Programa de Pós-Graduação Stricto Sensu- Doutorado e Mestrado em Direito
da Universidade Católica de Santos.
-Advogado, atuando, no Brasil e no exterior, nas áreas de Direito Internacional, Direito Digital, Direito
Desportivo e Direito Espacial.

3
Rebeca Carneiro Costa Moura Salgado:
-Advogada.
-Mestre em Direito Internacional pela Universidade Católica de Santos – UNISANTOS.
-Doutoranda em Direito Ambiental Internacional pela Universidade Católica de Santos – UNISANTOS.
 De fato, a velocidade do fluxo e a disseminação de informações torna-se o modelo
do final do século XX, facilitando, em uma nova estrutura aberta, globalizada e
interligada, a formação de banco de dados com infinitas possibilidades de troca e
armazenamento de informações.
Nesta linha, inegáveis são os avanços e contribuições trazidas pela conectividade,
desde o acesso à cultura, à democratização da informação, da valorização da diversidade
e do processo de inclusão digital. Com efeito, “A Internet passou a ser a base tecnológica
para a forma organizacional da Era da Informação: a rede.” (Castells, 2001, p. 7). Nesse
contexto, os dados podem ser considerados importantes “ativos” como estratégia de
negócios, pela grande versatilidade de seu uso (Carvalho, 2021).
Contudo, é necessário abrir espaço para reflexão a respeito das questões advindas
dessa massificação do uso dessas ferramentas tecnológicas relacionadas à Internet,
sobretudo em relação à privacidade e à proteção de dados pessoais, com suas
repercussões no mundo jurídico.
Por conseguinte, busca-se ampliar os controles e processos formais para seu
tratamento. Isso se dá através do fortalecimento regulatório, em processos de
governança corporativa, de Tecnologia da Informação (TI) e de dados, como garantia da
qualidade e segurança.
No contexto brasileiro do ambiente digital, a legislação que suporta a proteção da
privacidade dos dados pessoais, e que visa resguardá-los juridicamente engloba: a Lei
nº 12.527/2011 (Lei de Acesso à Informação), a de nº 12.965/2014 (Marco Civil da
Internet) e a recente Lei nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais
(LGPD).
Esse novel quadro regulatório surge, tanto para o atendimento das demandas dos
órgãos de controle e regulamentação (compliance legal), quanto para o atendimento de
demandas por privacidade e segurança dos cidadãos e das organizações no âmbito
digital.
Em breve ilustração, uma pesquisa divulgada em 2021 pela Serasa Experian,
denominada “Pesquisa Global de Identidade e Fraude 2021”4, aponta que, desde o início
de 2020, com a deflagração da pandemia de COVID-19, houve um aumento de 26% no

4
EXPERIAN, S. Pesquisa global de identidade e fraude 2021.
número de empresas que aplicam alguma estratégia de prevenção à fraude, totalizando,
atualmente, 8 em cada 10 empresas.
Neste sentido, no Brasil, o aumento de 11% no investimento em prevenção à
fraude entre junho de 2020 e janeiro de 2021, reflete um aumento das preocupações
acerca da garantia da confiabilidade dos negócios em um mundo onde o comércio se
torna cada vez mais digital, e onde operações fraudulentas podem ser realizadas com
cada vez menos rastros.
Diante disso, a garantia da confiabilidade de tais transações eletrônicas torna-se
um dos fundamentos dos negócios digitais, que, se comprometidos, afetam a própria
viabilidade da manutenção desse comércio. E não apenas na esfera econômica, mas
também o âmbito penal é atingido por esse tipo de operação, que, em uma análise mais
abrangente, compromete a segurança social de forma mais ampla e contundente.
Portanto, vale a contribuição deste capítulo para uma análise em torno do direito
a proteção de dados, especialmente com a promulgação da Lei nº13.709/2018, a
chamada Lei Geral de Proteção de Dados Pessoais (LGPD), tomando como base seus
fundamentos, e suas implicações práticas. Na realidade, demonstrar os pontos
principais para uma implementação em empresas privadas à luz dos princípios
norteadores das boas práticas de compliance.
Nesta ordem de ideias, o objetivo geral é identificar algumas das melhores práticas
de governança de dados, de privacidade e de segurança da informação no contexto do
Big Data, para a promoção do compliance à LGPD, desenvolvido a partir de uma revisão
bibliográfica, com abordagem metodológica que decorre da análise acerca da Lei nº
13.709/2018.
Para atingir tais desideratos, a metodologia utilizada é a bibliográfica, descritiva,
exploratória em torno dos conceitos abordados, documentos e legislações pertinentes,
compreendendo uma análise crítica, com abordagem dialética.

1. Considerações sobre a Lei Geral de Proteção de Dados Pessoais

Inicialmente, o primeiro tópico deste capítulo apresenta uma breve introdução
acerca da Lei nº 13.709/2018, denominada de Lei Geral de Proteção de Dados Pessoais
(LGPD), elevando os principais conceitos e dispositivos relacionados ao tratamento de
dados na prevenção a fraude.
 Neste passo, e em complemento, busca apresentar alguns conceitos e principais
marcos teóricos relacionados à Governança de Dados (GD), à Privacidade, e à Segurança
da Informação.
Por primeiro, deve-se salientar, que a Lei Geral de Proteção de Dados Pessoais, foi
sancionada em 14 de agosto de 2018, visando fortalecer a proteção das informações
pessoais e a transparência na forma de tratamento e armazenamento de dados.
Nesta linha, a essência da norma intenta proteger os direitos de liberdade e
privacidade, bem como trazer uma série de princípios que norteiam a política de
proteção de dados no Brasil.
Embora o país já dispunha de cerca de 40 normas que, direta ou indiretamente
tratam da questão, a LGPD trouxe um novo modelo regras de proteção de dados
pessoais para ser aplicada tanto no setor público quanto no privado, mas levando em
conta o ambiente digital5.

1.1 Breve histórico da evolução regulatória na União Europeia

De forma basilar, o Parlamento Europeu, preocupado em estabelecer parâmetros
para a proteção de dados, publicou duas resoluções para proteção dos direitos do
indivíduo face aos desenvolvimentos tecnológicos no campo do tratamento automático
de dados (1975), publicada no JO n.º C60/48; e Resolução do Parlamento Europeu de 8
de abril de 1976 sobre a proteção dos direitos do indivíduo face aos desenvolvimentos
tecnológicos no campo do tratamento automático de dados (1976) publicada no JO n.º
C100/27(FERREIRA, 2017, p. 27).
Em prosseguimento, mais à frente, um documento fundamental para a proteção
de dados foi a Diretiva 95/46/EC. Neste sentido:
Durante 20 anos a diretiva 95/46/EC foi um dos documentos mais importantes
no tocante aos avanços voltados à proteção de dados, a qual, exigia de cada
país membro da União Europeia tivesse uma agência ou comissão de proteção
de dados. (VAINZOF, Rony, 2019, p. 21)

Diante da evolução da Internet, em geral, e do ambiente digital, em especial, a

União Europeia deu um passo decisivo, que serviu de modelo para o Brasil, com o
Regulamento Geral de Proteção de Dados, o chamado GDPR (General Data Protection

5
Vide, neste sentido, FREIRE E ALMEIDA, Daniel; SCRIPTORE, Verônica. Proteção de Dados na Perspectiva
do Direito Internacional na Internet. New York: Lawinter Editions, 2019.
Regulation). De fato, o Regulamento (UE) n.º 2016/679 do Parlamento Europeu e do
Conselho, de 27 de abril de 2016, contém as regras gerais em matéria de proteção de
dados, e substituiu a Diretiva 95/46/CE, bem como as leis e regulações nacionais nela
baseadas6.
A União Europeia realizou de forma inovadora, em 2016, a regulação de dados e,
por conseguinte:
“os governos de todo o mundo estão sendo chamados a responder a estes
novos desafios de constante mobilidade e difícil acesso e regulação dos
conteúdos dos usuários e empresas espalhados pela terra.
Os países procuram controlar o fluxo de informações (dados) dentro de suas
fronteiras e, ao mesmo tempo, formar escudos virtuais protetivos contra-
ataques cibernéticos vindos de fora de suas fronteiras.
Nunca, anteriormente, na história das civilizações, o fenômeno da
internacionalidade foi tão constante, digital e desafiador.
Assim, iniciativas de regulação proliferam em diferentes países como a Índia,
a China, o Brasil, bem como a California (local de sede das mais relevantes
empresas da Internet) e a União Europeia.”7

Propícia a menção aqui que, em razão do novo quadro regulatório europeu, o

objetivo de assegurar um elevado nível de proteção dos dados pessoais foi direcionado.
A União Europeia considera que as transformações digitais passaram a exigir um regime
de proteção de dados sólido8, suportado por uma aplicação rigorosa das regras,
provisionando a confiança necessária ao desenvolvimento da economia digital no
mercado europeu9.
Para além destes pontos, na perspectiva da União Europeia, as pessoas, em geral,
necessitam de uma regulação a respeito do tratamento de seus dados. Ainda, a União

6
Vide Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the
protection of natural persons with regard to the processing of personal data and on the free movement
of such data, and repealing Directive 95/46/EC (General Data Protection Regulation). Disponível em:
https://eur-lex.europa.eu/eli/reg/2016/679/oj .
7
Cfr. FREIRE E ALMEIDA, Daniel; SCRIPTORE, Verônica. Proteção de Dados na Perspectiva do Direito
Internacional na Internet. New York: Lawinter Editions, 2019, p. 12-13.
8
Em complemento, dados apontam que, em todo mundo, 65% dos adultos já foram vítimas de algum tipo
de crime digital. No Brasil, esse número chega a 76% dos adultos, sendo a China a maior vítima, com 83%
da população adulta vítima desse tipo de crime (NORTON, 2018). O número expressivo de crimes
cibernéticos praticados mundialmente se contrapõe ao número de soluções, o que denota o sentimento
de injustiça das vítimas. Com o avanço tecnológico e a democratização da internet, a ocorrência de crimes
cibernéticos aumentou a ponto de se tornar uma verdadeira epidemia global silenciosa, o que contrapõe
o avanço da tecnologia pública a serviço da resolução destes crimes, pairando, portanto, a sensação de
que a internet é uma “terra sem lei”.
9
Cfr. Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the
protection of natural persons with regard to the processing of personal data and on the free movement
of such data, and repealing Directive 95/46/EC (General Data Protection Regulation). Disponível em:
https://eur-lex.europa.eu/eli/reg/2016/679/oj .
considera, a partir do Regulamento Geral, que a “proteção das pessoas singulares
relativamente ao tratamento de dados pessoais é um direito fundamental” 10.
Diante disso, e neste contexto, podemos afirmar que a referida consideração
europeia, a respeito dos direitos fundamentais, também serviu de inspiração ao Brasil,
como verificaremos a seguir.

1.2 O quadro normativo no Brasil

Com a crescente necessidade por uma legislação que se compatibilizasse com as
legislações internacionais, como o GDPR, o Brasil avançou para a promulgação da Lei
Geral de Proteção de Dados Pessoais (LGPD), que foi sancionada em agosto de 2018. A
referida norma, entre outros importantes pontos, prescreve a governança como uma
ferramenta necessária ao tratamento de dados.
Além disso, as elevadas preocupações com a proteção à privacidade e segurança
das informações, fazem com que a governança seja uma ferramenta cada vez mais
oportuna e requisitada, não apenas para o compliance legal, mas também para
atendimento das demandas dos usuários.
Em alinhamento, a regulação, então, surge tanto para o atendimento das
demandas dos órgãos de controle e regulamentação (compliance legal), quanto para o
atendimento de demandas por privacidade e segurança pelos cidadãos e pelas
organizações.
Em particular, no Brasil, havia até o marco da LGPD algumas normas gerais que
tratavam sobre a proteção de dados, entretanto a sua promulgação significou um
avanço histórico para o país.
“A promulgação da lei é um marco para o Brasil já que anteriormente
não existia legislação específica sobre proteção de dados. O que
existiam eram algumas normativas esparsas, como o Código de Defesa
do Consumidor, a lei do Cadastro Positivo e a lei 12.965/14 que ficou
conhecida popularmente como o Marco Civil da Internet e que foi
parcialmente alterada pela LGPD”. (SANTIAGO & TAMBA, 2018).

10
Cfr. Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the
protection of natural persons with regard to the processing of personal data and on the free movement
of such data, and repealing Directive 95/46/EC (General Data Protection Regulation). Disponível em:
https://eur-lex.europa.eu/eli/reg/2016/679/oj .
 Em consequência, a construção de uma lei de proteção de dados que esteja em
conformidade com o cenário mundial, a despeito daquilo que fora emanado,
inicialmente, pela União Europeia, é uma relevante ferramenta que contribui para o
avanço da economia digital, protege os usuários, e favorece o diálogo com outros países.
Ademais, a LGPD regula o tratamento de dados pessoais em qualquer plataforma,
incluindo o armazenamento digital, por pessoas individuais ou coletivas, de direito
público ou privado, e visa assegurar a privacidade das pessoas.
Outro ponto marcante, nesta linha, é que o Brasil avançou em outros dois cenários
no contexto das alterações sobre os dados pessoais. Para ilustrar esse tema, em
primeiro ponto, por meio de uma decisão em 2020, o Supremo Tribunal Federal
qualificou a proteção de dados como um direito fundamental autônomo, uma mudança
notável na forma como o tribunal vem analisando a privacidade e a proteção de dados11.
Mais recentemente, em 2022, o tema foi inscrito diretamente na Constituição brasileira.
O Congresso Nacional do Brasil aprovou um projeto de emenda constitucional tornando
a proteção de dados pessoais, inclusive em mídia digital, um direito fundamental. A
matéria tramitava no Congresso desde 2019, e foi promulgada nestes termos:
LXXIX - é assegurado, nos termos da lei, o direito à proteção dos dados
pessoais, inclusive nos meios digitais. (Incluído pela Emenda Constitucional
nº 115, de 2022)

Agora, pois, a proteção de dados está incorporada à Constituição como cláusula

pétrea, não podendo mais ser alterada. A emenda, nº 115, de 2022, traz para o texto
constitucional os princípios do GDPR europeu, e da Lei Geral de Proteção de Dados
Pessoais.

1.3 Os princípios contidos na Lei de Proteção de Dados Brasileira

As análises que se seguirão são afetas ao contexto da LGPD, em especial
apresentando-se os princípios dispositivos relacionados ao tratamento de dados, além
dos marcos teóricos relacionados à matéria.
Neste sentido, a LGPD consolida-se como uma legislação que direciona o
tratamento de dados no Brasil, reforçando e atualizando certas diretrizes introduzidas

11
SUPREMO TRIBUNAL FEDERAL. Inteiro Teor do Acórdão. Referendo na Medida Cautelar na Ação
Direta de Inconstitucionalidade 6.387. Distrito Federal (2020). Disponível em:
https://www.smnadv.com.br/wp-content/uploads/2020/11/Inteiro-Teor-ADI-6387-.pdf .
pelas leis nº 12.527/2011 (Lei de Acesso à Informação) e nº 12.965/2014 (Marco Civil da
Internet). Como já sinalizado, a legislação brasileira é ainda fortemente influenciada
pelo Regulamento Europeu de 2016 (GDPR), que se traduz como um marco
internacional na proteção à privacidade dos titulares de dados pessoais.
Sob tal prisma, então, para uma atividade adequada de tratamento dos dados
pessoais ordinários12 ou sensíveis13 se faz necessário atender às diretrizes dispostas na
Lei Geral de Proteção de Dados Pessoais. Saliente-se, que, em regra, o preceito que
norteia todos os tratamentos de dados pessoais existentes, é aquele que
necessariamente respeite os seguintes princípios preconizados na LGPD, todos previstos
em seu artigo 6º14.
O princípio da finalidade, previsto no inciso I do artigo 6º da LGPD, emprega-se
com o conceito de “realização do tratamento para propósitos legítimos, específicos,
explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma
incompatível com essas finalidades”. Em outras palavras, todo dado coletado deverá ter,
no momento de seu colhimento inicial, a indicação clara e completa que justifique sua
coleta.
Em prosseguimento, o Princípio da adequação (Art. 6º, II) tem previsão no inciso
II do artigo 6º da LGPD. O referido princípio emprega-se com o seguinte conceito:
“compatibilidade do tratamento com as finalidades informadas ao titular, de acordo
com o contexto do tratamento”. Logo, a coleta de dados deverá ser compatível com a
atividade fim do tratamento, não podendo apresentar uma relação destoante entre o
titular dos dados e o controlador.
Já o Princípio da necessidade (art. 6º, III), estabelece, de forma conceitual a
“limitação do tratamento ao mínimo necessário para a realização de suas finalidades,
com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às

12
Informação relacionada a pessoa natural identificada ou identificável. Vide BRASIL. Lei nº 13.709, de 14
de Agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Disponível em:
https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm .
13
Dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou
a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado
genético ou biométrico, quando vinculado a uma pessoa natural. Vide BRASIL. Lei nº 13.709, de 14 de
Agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Disponível em:
https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm .
14
Vide BRASIL. Lei nº 13.709, de 14 de Agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD).
Disponível em: https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm .
finalidades do tratamento de dados”. Sob tal ótica, os dados selecionados para tal
operação deverão ser tratados de forma condizente à sua finalidade, não podendo
configurar excesso em seu manejo.
A seu turno, o Princípio do livre acesso (art. 6º, IV) dispõe ”que é garantido ao
titular a consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem
como requerer informações sobre a integralidade de seus dados pessoais.” Tal princípio
traz a base do direito do titular, prevista nos artigos 9º, 18 e 20, de requerer informações
sobre seu tratamento, o qual poderá ocorrer mediante requisição física ou eletrônica, o
que entender melhor o agente de tratamento. Porém é extremamente importante que
tal agente tenha delimitado qual a forma que será realizada tais requisições, por meio
de um canal de comunicação oficial.
Por sua vez, o Princípio da qualidade dos dados (Art. 6º, V) preconiza “a garantia,
aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a
necessidade e para o cumprimento da finalidade de seu tratamento”. Tal conceito de
qualidade vem atrelado aos conceitos de integralidade da informação. A integralidade
da informação se sustenta nas seguintes características: Completeza, Precisão,
Verificação, Validade, Correção/Corretude, autenticidade e não repúdio15.
Em continuidade, o Princípio da transparência (art. 6º, VI) visa a “garantia, aos
titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do
tratamento e os respectivos agentes de tratamento, observados os segredos comercial
e industrial”. Significa, pois, que as pessoas naturais têm o direito de serem informadas
sobre a coleta e o uso de seus dados pessoais, incluindo: seus propósitos para processar
os dados, seus períodos de retenção para esses dados pessoais, e com quem serão
compartilhados.
Outro direcionamento é estabelecido pelo Princípio da segurança (art. 6º, VII).
Neste ponto, a segurança é compreendida pela “utilização de medidas técnicas e
administrativas aptas a proteger os dados pessoais de acessos não autorizados e de
situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou
difusão”. Os dados pessoais deverão ser tratados de uma forma que garanta a devida
segurança e confidencialidade, incluindo condições para evitar o acesso a dados

15
Vide BRASIL. Lei nº 13.709, de 14 de Agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD).
Disponível em: https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm .
pessoais e equipamento utilizado para o seu tratamento, ou a utilização dos mesmos
por pessoas não autorizadas.
Em adição, o Princípio da prevenção (Art. 6º, VIII) indica a “adoção de medidas
para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais”. A
prevenção vem da Segurança da Informação, onde é necessária a precaução acerca de
eventualidades que possam ocorrer, através da adoção de medidas para prevenir a
ocorrência de danos em virtude do tratamento de dados pessoais.
Outro elemento, imprescindível na dinâmica da LGPD é o Princípio da não
discriminação (art. 6º, IX). O referido princípio já indica sua finalidade, qual seja, a de
assegurar a impossibilidade de realização do tratamento para fins discriminatórios,
ilícitos ou abusivos. Em outras palavras, o tratamento de dados não pode ser realizado
para fins abusivos, discriminatórios, ou ainda ilegais. Sendo assim, não se pode ter
exclusão de titulares de dados pessoais no momento de seu tratamento, por
determinadas características, sejam elas de origem racial ou étnica, opinião política,
religião ou convicções, geolocalização, filiação sindical, estado genético, de saúde ou
orientação sexual. Vale ponderar, que isso não quer dizer que nunca poderá ter uma
setorização de tratamento de dados. Porém, somente poderá ocorrer tal restrição em
condições específicas e previstas em lei, como por exemplo um tratamento de dados de
estudantes optantes por cotas, perante a Lei nº 12.711/2012. Neste caso, a condição de
tratamento de dados pessoais será a partir de seu histórico educacional, sendo ele
oriundo integralmente do ensino médio público, em cursos regulares ou da educação
de jovens e adultos, in exemplis.
Em sequência, o Princípio da responsabilização e prestação de contas (Art. 6º, X)
dispõe que o agente tratador dos dados pessoais, deverá demonstrar todas as medidas
eficazes e capazes de comprovar o cumprimento da Lei Geral de Proteção de Dados
Pessoais e, ainda, a eficácia das medidas aplicadas. Isto equivale a discorrer que o
controlador ou operador tem o dever de prestar contas, ante as suas responsabilidades
de demonstrar à autoridade delegante que os objetivos propostos foram cumpridos,
sejam eles técnicos e/ou preventivos, e que esses processos guardaram adequação
(conformidade) com as regras e princípios estabelecidos que comprovem a efetividade
e a observância da proteção aos dados pessoais.
 Por conseguinte, diante dos termos vetores do artigo 6º. da LGPD, as atividades
de tratamento de dados pessoais deverá observar a boa-fé e os princípios trazidos à
tona neste tópico.

2. Governança e Boas Práticas na Proteção de Dados

Em alinhamento aos pontos já levantados no primeiro item deste capítulo, é
relevante trazer à baila, em breve apanhado, certos pontos das normas da família
ISO/IEC 27000, que direcionam para o Sistema de Gestão de Segurança da Informação-
SGSI, e são relacionadas à segurança de dados digitais16. Nesta linha, de certa
padronização internacional de segurança, emerge a ISO17 da família 27000,
correlacionada às principais legislações de proteção de dados ao redor do mundo, como
uma ferramenta de controle e proteção, e coadunada com os objetivos centrais da
LGPD.
Hodiernamente, existem cerca de 40 normas presentes na família 27000, que
revelam o dever de normatizar inúmeros aspectos e cenários da segurança da
informação, como a ISO 27017, que versa sobre a segurança da informação para
compartilhamento de dados dispostos em nuvem, ou, a ISO 27035, que versa sobre a
implementação de sistemas de segurança da informação voltados à saúde. Portanto,
observa-se certa amplitude nessa família normativa, mas todas voltadas à segurança da
informação.
Em princípio, a ISO 27001 é a primeira norma da família, e normatiza os requisitos
para estabelecer, implementar, manter e melhorar, de forma contínua, um SGSI,
promovendo a base que sustenta a Segurança da Informação em uma empresa18.
Dando continuidade, a ISO 27002 demonstra como realizar sua implementação,
sendo usada como uma referência na seleção de controles dentro do processo de

16
Vide INTERNATIONAL ORGANIZATION FOR STANDARDIZATION. ISO/IEC 27000:2018. Disponível em:
https://www.iso.org/standard/73906.html .
17
A sigla ISO é a sigla originada da International Organization for Standardization (em português,
Organização Internacional para Padronização). Essa fundação tem o objetivo de normatizar e padronizar
normas internacionais em todos os campos, como normas técnicas, de procedimentos e processos. No
Brasil, a entidade é representada pela ABNT (Associação Brasileira de Normas Técnicas).
18
Vide INTERNATIONAL ORGANIZATION FOR STANDARDIZATION. ISO/IEC 27001. Information security
management systems. Disponível em: https://www.iso.org/standard/27001 .
implementação de um Sistema de Gestão de Segurança da Informação na cultura
organizacional da empresa19.
Em importante adição, essencialmente, alguns aspectos tratados na norma
NBR/ISO 27701, juntamente com a norma NBR/ISO 2700120 tornaram-se padrão, e a
referência internacional para a gestão da Segurança da Informação. Também, a norma
NBR/ISO 27002 21 trata dos principais aspectos e controles para definição de políticas de
segurança da informação.
Neste passo, no processo de adequação das empresas à LGPD, podem ser usadas
as normas ISO 27001 e a 27701. A ISO 27001, estabelece a preservação da
confidencialidade, integridade e disponibilidade da informação e dos recursos de
processamento das informações associadas aos sistemas, serviços, infraestrutura lógica
ou física, reduzindo o impacto dos incidentes de segurança22. Já a ISO 27701, define
requisitos adicionais e fornece orientações recomendadas para a proteção da
privacidade, permitindo que a organização amplie seu sistema de gestão de segurança
da informação (SGSI) para proteger informações pessoais23.
Para as empresas que buscam conformidade com a LGPD, a norma ISO 27001 é
um ponto de partida, pois traz os processos básicos de segurança da informação,
permitindo que a organização revise, gerencie e trate continuamente os riscos de
segurança de forma adequada, inclusive os relacionados a dados pessoais. Combinada
com a ISO 27701, o projeto torna-se completo, já que esta traz as regras e processos
específicos para o tratamento da privacidade dos dados, que é o foco da LGPD24.

19
Vide INTERNATIONAL ORGANIZATION FOR STANDARDIZATION. ISO/IEC 27002:2022. Information
security, cybersecurity and privacy protection — Information security controls. Disponível em:
https://www.iso.org/standard/75652.html .
20
INTERNATIONAL ORGANIZATION FOR STANDARDIZATION. CENTRAL SECRETARY. Information
technology — security techniques — information security management systems — requirements.
Standard ISO/IEC TR 27001:2013, International Organization for Standardization, Genebra, CH, 2013.
21
INTERNATIONAL ORGANIZATION FOR STANDARDIZATION. CENTRAL SECRETARY. Information
technology — security techniques — code of practice for information security controls. Standard ISO/IEC
TR 27002:2013, International Organization for Standardization, Genebra, CH, 2013.
22
Vide INTERNATIONAL ORGANIZATION FOR STANDARDIZATION. ISO/IEC 27001. Information security
management systems. Disponível em: https://www.iso.org/standard/27001 .
23
Vide INTERNATIONAL ORGANIZATION FOR STANDARDIZATION. ISO/IEC DIS 27701. Security techniques
— Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management — Requirements
and guidelines. Disponível em: https://www.iso.org/standard/85819.html .
24
Vide BRASIL. Lei nº 13.709, de 14 de Agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD).
Disponível em: https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm .
 Já a norma ABNT NBR ISO/IEC 27002:2013 consiste em um standard de boas
práticas para a segurança da informação, que aborda sobre a necessidade de preservar
a informação de ameaças para minimizar o risco, enquanto maximiza retornos dos
investimentos e torna possível a continuidade da organização. É necessária a aplicação
dos controles adequados, esses sendo processos, procedimentos, políticas, a fim de
garantir a segurança da informação (BANDEIRA, 2017)25.
A ABNT NBR ISO/IEC 27002 teve como embasamento um documento que foi
divulgado pelo governo do Reino Unido, onde se tornou um padrão em 1995, chamado
BS7799. Em 2000, foi anunciada como uma norma que foi chamada de padrão ISO
17799, até que, em 2005, foi atualizada e fez parte da série de normas internacionais
27000, onde foram divulgados alguns documentos acerca do tema, para serem usados
em conjunto. Foi lançada uma nova versão publicada em 2013, a ISO 27002:2013, que
conta com 114 controles, diferindo da versão de 2005 que possuía 133 controles
documentados (BANDEIRA, 2017).
Como um dos temas mais abordados na LGPD é a segurança das informações,
pode-se extrair do artigo 46, que os agentes responsáveis pelo tratamento de dados são
obrigados a adotar todas as medidas de segurança, técnicas e administrativas
necessárias para a proteção de dados pessoais, de modo a impedir/prevenir incidentes
de segurança, bem como situações acidentais ou alterações inadequadas26.
Em importante alinhamento, o Artigo 50, inciso I, da LGPD, em seu rol, elenca os
deveres que a empresa controladora deverá proporcionar em seus tratamentos de
dados, como, por exemplo, que “estabeleça políticas e salvaguardas adequadas com
base em processo de avaliação sistemática de impactos e riscos à privacidade”; que
demonstre que “aplica mecanismos de supervisão internos e externos”; e, entre outras,
que “conte com planos de resposta a incidentes e remediação”.
Tudo, pois, em paralelo direto com as propostas adotadas pela ISO da família
27000, visto serem voltadas para a segurança da informação.

25
Vide INTERNATIONAL ORGANIZATION FOR STANDARDIZATION. ISO/IEC 27002:2022. Information
security, cybersecurity and privacy protection — Information security controls. Disponível em:
https://www.iso.org/standard/75652.html .
26
Vide BRASIL. Lei nº 13.709, de 14 de Agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD).
Disponível em: https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm .
 3. O Compliance e a Lei Geral de Proteção de Dados Pessoais na Gestão de Riscos
A Lei Geral de Proteção de Dados Pessoais, tem como desígnio, entre outros, a
preservação do direito constitucional à liberdade e à privacidade que todos os cidadãos
brasileiros têm, bem como protegê-los de danos causados por quebras desses direitos,
uma vez que estes dados têm uma importância cada vez maior na sociedade
contemporânea. Também, porque podem ser utilizados em inúmeras aplicações, como
o direcionamento de propagandas e anúncios específicos (marketing digital) para o
perfil de determinado consumidor, a partir das páginas que este visita na internet.
A proteção de informações corporativas diante de ameaças externas e internas é
cada vez mais importante para uma empresa, pois sabe-se que os dados de
organizações, sejam eles de maior ou menor grau de significância, possuem valor. Neste
sentido, surge a Segurança de Dados, que visa proteger os dados organizacionais e, para
isso, é necessária uma série de ações planejadas que envolvem uma boa performance
no assunto de segurança de dados. Logo, Compliance e Gestão de Risco são estratégias
e ferramentas essenciais para uma boa atividade empresarial de segurança no contexto
dos dados.
A Gestão de riscos contempla uma série de processos que tem como objetivo
corrigir as deficiências para evitar falhas que possam ocorrer e comprometer a
organização, e com isso gerar valor para a companhia.
Neste sentido, a ação de gerir riscos envolve uma gama de atividades cognitivas
de análise, interpretação e identificação de oportunidades que aumentam o valor de
mercado da empresa e melhoram a infraestrutura do negócio.
Na Gestão de Riscos para a segurança de dados e informação, existe a norma ISO
27005 de Gestão de Riscos de Segurança de Informação. Nela são abarcados os níveis
de risco existentes, e nos quais o dado pessoal ou informação na empresa estão
submetidos, sendo27:
• Grau de vulnerabilidade existente;
• Probabilidade da ocorrência de incidente de segurança (concretização da
ameaça);

27
Vide INTERNATIONAL ORGANIZATION FOR STANDARDIZATION. ISO/IEC 27005:2022. Information
security, cybersecurity and privacy protection — Guidance on managing information security risks.
Disponível em: https://www.iso.org/standard/80585.html .
 • Impacto resultante do mesmo.
Nesta esfera, a gestão de risco deve auxiliar a prevenção do vazamento de dados
e informações, bem como planejar a contingência para rapidamente ajustar ou corrigir
algum erro ou falha de vulnerabilidade ou vazamento de dados. Gerir dados também
exige preparo, empenho, diligência e alto grau de compliance da empresa.
Dessa forma, projetos que estiverem em conformidade com a LGPD vão se
diferenciar no mercado, demonstrando a preocupação das organizações com a proteção
de dados e a transparência com relação aos dados coletados e o processamento
realizado. Isso faz com que não somente outras empresas, mas também os próprios
usuários, ao compreender mais sobre o que está sendo feito com seus dados, confiem
mais nos serviços.
Para que seja possível entender melhor o que é compliance é importante entender
os seus significados. A palavra compliance vem do verbo “to comply”, que significa:
obedecer a uma regra ou lei, fazer o que alguém lhe pede para fazer, para fazer o que
você tem que fazer ou são solicitados a fazer. Nesta linha, o significado da palavra
compliance também pode ser compreendido como a prática de obedecer: a uma lei,
regra, acordo ou pedido (LONGMAN, 2003, MACMILLAN). Em consequência, estar em
compliance é estar em conformidade, condescendendo, aquiescendo, concordando,
cumprindo as normas. Fazer o que é certo é, igualmente, estar em compliance.
O compliance ocorre quando o comportamento real de um determinado assunto
está em conformidade com o comportamento esperado, prescrito. Pelo contrário, o não
compliance ocorre quando o comportamento real se aparta, de forma significativa deste
comportamento. (YOUNG, 1979).
No entanto, no que concerne ao mundo corporativo, o compliance passa ser uma
ferramenta de governança corporativa, no que refere a sistemas, processos, regras e
procedimentos adotados para gerenciar os negócios (ASSI, 2013).
Em decorrência dos ataques cibernéticos às empresas, assim como ao vazamento
de informações confidenciais, tornou-se necessária a adoção de algumas condutas para
resguardar a privacidade dos usuários e atender à legislação vigente, o que exigiu que o
compliance digital se tornasse uma estratégia, com o objetivo de analisar riscos e adotar
medidas preventivas para adequar a situação da empresa às normas aplicáveis às
tecnologias da informação, assegurando que os processos adotados pela organização,
por meio digital, sejam compatíveis com normas e regulamentações específicas.
Com isso, é necessário que as organizações brasileiras atendam à LGPD, que busca
garantir tanto a segurança de dados, mas também a transparência no uso de dados para
pessoas físicas. A norma ainda estipula a implementação de ferramentas de gestão
integrada e efetiva para a prevenção de incidentes relacionadas à perda de dados,
trazendo prejuízos financeiros e à imagem da organização28.

Considerações finais
Por tudo quanto examinado, na contemplação da relação entre compliance e
tecnologia da informação e a aplicação da LGPD, é possível concluir que para que haja
uma implementação de sucesso na gestão de dados, as normas, standards, princípios e
regras da LGPD devem ser defendidas e respeitadas. De fato, este conjunto de ações
poderá proporcionar à operação das companhias um maior controle de seus ativos
voltados aos dados, aumentando a percepção sobre os riscos corridos, e as
oportunidades de evolução digital.
Como foi exposto, a norma ISO mais recente neste contexto, a 27701, surge como
extensão da 27001 e 27002, e foca na proteção da privacidade no contexto do
tratamento de dados pessoais, trazendo em seu corpo as diretrizes necessárias para
adequação a GDPR e por consequência também à LGPD.
Os dados assumiram uma posição de destaque na realidade da sociedade digital,
com o desdobramento progressivo da estruturação tecnológica e o desenvolvimento
das tecnologias de informação e da comunicação. De fato, a tecnologia está
inteiramente estruturada ao meio, se tornando um ativo indispensável para as novas
relações humanas.
No atual contexto do ambiente digital, as organizações e instituições perceberam
a necessidade da obtenção, tratamento, produção, registro, gerenciamento e uso de
dados e informação como um ativo valioso, e a criação de legislações protetivas
espalhadas pelo mundo focadas nos direitos dos titulares dos dados pessoais revela-se
crescente.

28
Vide BRASIL. Lei nº 13.709, de 14 de Agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD).
Disponível em: https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm .
 Nesta ordem de ideias, o Brasil passa a integrar um grupo internacional positivo,
que busca proteger os dados pessoais de usuários frente ao tratamento por instituições
públicas e privadas. Neste contexto, surge a necessidade de adequação das empresas
para essa nova realidade que enfrentada, havendo, também, a introdução ao tema de
compliance na proteção de dados pessoais.
Por fim vale mencionar, que a ótica trazida pela LGPD é a da proteção da
autodeterminação informacional. Sendo assim, a necessidade de proteção dos direitos
dos titulares é o objetivo fulcral desta codificação. Neste sentido, a realidade
empresarial digital, precisará observar e seguir estes novos parâmetros que se
apresentam, defendido não somente pela normativa geral supracitada, mas também,
no caso brasileiro, pela Constituição Federal, que conferiu um status fundamental ao
direito à proteção dos dados pessoais, inclusive nos meios digitais.

Referências
ASSI, Marcos. Gestão do compliance e seus desafios: como implantar controles
internos, superar dificuldades e manter a eficiência dos negócios. São Paulo: Saint Paul
Editora, 2013.
BANDEIRA, Julia de Miranda. Avaliação da aplicação da norma NBR ISO/IEC 27002:2013
e a conformidade com ITIL no processo de gestão de segurança da informação. 2017.
60 f. Trabalho de Conclusão de Curso (Bacharelado em Sistemas de Informação) –
Universidade Federal Fluminense, 2017.
BRASIL. Lei nº 13.709, de 14 de Agosto de 2018. Lei Geral de Proteção de Dados Pessoais
(LGPD). Disponível em: https://www.planalto.gov.br/ccivil_03/_ato2015-
2018/2018/lei/l13709.htm .
CARVALHO, Arthur Potiguara. Proposta de um framework de compliance à Lei Geral de
Proteção a Dados Pessoais (LGPD): Um estudo de caso para prevenção a fraude no
contexto de Big Data. Dissertação de Mestrado profissional. Universidade de Brasília.
Brasília/DF, 2021
CASTELLS, Manuel. A galáxia internet, reflexões sobre a internet. Fundação Calouste
Gulbenkian, Lisboa 2001
FERREIRA, Joana Aurora Pinheiro Da Silva Massano. O Direito à proteção de dados em
rede no âmbito da União Europeia. Faculdade de Direito da Universidade Nova de
Lisboa. Lisboa, 2017.
FREIRE E ALMEIDA, Daniel; SCRIPTORE, Verônica (Orgs.). Proteção de Dados na
Perspectiva do Direito Internacional na Internet. New York: Lawinter Editions, 2019.
INTERNATIONAL ORGANIZATION FOR STANDARDIZATION. CENTRAL SECRETARY.
Information technology — security techniques — code of practice for information
security controls. Standard ISO/IEC TR 27002:2013, International Organization for
Standardization, Genebra, CH, 2013
INTERNATIONAL ORGANIZATION FOR STANDARDIZATION. ISO/IEC 27000:2018.
Disponível em: https://www.iso.org/standard/73906.html.
INTERNATIONAL ORGANIZATION FOR STANDARDIZATION. ISO/IEC 27001. Information
security management systems. Disponível em: https://www.iso.org/standard/27001.
INTERNATIONAL ORGANIZATION FOR STANDARDIZATION. ISO/IEC 27002:2022.
Information security, cybersecurity and privacy protection — Information security
controls. Disponível em: https://www.iso.org/standard/75652.html.
INTERNATIONAL ORGANIZATION FOR STANDARDIZATION. ISO/IEC 27005:2022.
Information security, cybersecurity and privacy protection — Guidance on managing
information security risks. Disponível em: https://www.iso.org/standard/80585.html.
MANZI, V. Antônio Compliance no Brasil: consolidação e perspectivas. Saint Paul
Editora, 2008
NORTON. Relatório de Crimes Cibernéticos NORTON: O impacto humano.2018
Disponível em: https://docplayer.com.br/1488607-Relatorio-de-crimes-ciberneticos-
norton-o-impacto-humano.html
Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April
2016 on the protection of natural persons with regard to the processing of personal data
and on the free movement of such data, and repealing Directive 95/46/EC (General Data
Protection Regulation). Disponível em: https://eur-lex.europa.eu/eli/reg/2016/679/oj
REINALDO FILHO, Demócrito A exibição da prova eletrônica em juízo: necessidade de
alteração das regras do processo civil. COAD, 2013. Disponível em:
https://www.coad.com.br/app/webroot/files/trab/pdf/ct_net/2006/ct4806.pdf
SANTIAGO, Van Cristina TAMBA, Debora Harumi. Proteção de dados no Brasil: novo
marco regulatório. In: Migalhas, 13 de novembro de 2018. Disponível em:
https://www.migalhas. com.br/depeso/290866/protecao-de-dados-no-brasil-novo-
marco-regulatorio. Acesso em: 27 de fevereiro de 2020.
SUPREMO TRIBUNAL FEDERAL. Inteiro Teor do Acórdão. Referendo na Medida Cautelar
na Ação Direta de Inconstitucionalidade 6.387. Distrito Federal (2020). Disponível em:
https://www.smnadv.com.br/wp-content/uploads/2020/11/Inteiro-Teor-ADI-6387-
.pdf .
VAINZOF, Rony. In: LGPD: Lei Geral de Proteção de Dados Comentada. MALDONADO,
Viviane Nobrega, BLUM Renato Opice (coord.). São Paulo: Thomson Reuters Brasil,
2019.
YOUNG, Oran. Compliance and Public Authority. Baltimore: Johns Hopkins Univ. Press.
172 pp. 1979.