2022 LGPD Debates e Temas Relevantes Ana Paula Canto de Lima

Todos os direitos desta edição são reservados à Editora Império.
Direção Executiva: Eduardo Cavalcante de Almeida Costa
Direção Editorial: Ana Paula Moraes Canto de Lima
Conselho Editorial: Ana Paula Moraes Canto de Lima

Cristiano Carrilho Silveira Medeiros
Ingrid Zanella Andrade Campos
Isabela Lessa Azevedo Pinto Ribeiro
Maria Emília de Oliveira Queiroz
Capa e Projeto Gráfico: Michael Oliveira

Diagramação: Michael Oliveira
Revisão: Dos autores
Relacionamento com o cliente via WhatsApp: (81) 3203-6469
Dados Internacionais de Catalogação na Publicação (CIP)

(Câmara Brasileira do Livro, SP, Brasil)
LGPD 2022 [livro eletrônico] : debates e temas

relevantes / organizadoras Ana Paula Canto de
Lima, Eduarda Chacon Rosas. -- Recife, PE :
Império Jurídico, 2022.
PDF
Vários autores.
Bibliografia.
ISBN 978-65-89291-07-7
1. Direito à privacidade 2. Proteção de dados -

Direito - Brasil 3. Proteção de dados - Leis e
legislação 4. Proteção de dados pessoais 5. Sociedade
da informação 6. Tecnologia da informação. I. Lima,
Ana Paula Canto de. II. Rosas, Eduarda Chacon.
22-128334 CDU-342.721
Índices para catálogo sistemático:
1. Lei Geral de Proteção de Dados : Direito à

privacidade 342.721
Eliete Marques da Silva - Bibliotecária - CRB-8/9380

PREFÁCIO
O sistema brasileiro de proteção de dados pessoais

ainda caminha para sua consolidação. O marco regulatório re-
ferencial, por óbvio, ainda é a Lei Geral de Proteção de Dados
Pessoais (LGPD), sancionada em 2018, a despeito da própria
promulgação da Emenda à Constituição n.º 115, de 2022. O
que se verificou, tal o impacto da lei, foi a constitucionalização
da proteção de dados, a partir da legislação ordinária.
Com efeito, a LGPD foi de tal forma impactante
para a sociedade brasileira que o marco regulatório e legal
que representa é também um marco histórico: nesse curto in-
tervalo de tempo, desde sua edição, o ordenamento jurídico
infraconstitucional já acomodou a proteção de dados em ini-
ciativas plurais, desde legislativas, até jurisprudenciais.
Além das normas que a reformaram, a LGPD foi ain-
da expressamente referenciada em diversos outros diplomas le-
gais, em especial federais1, num evidente indicativo de seu es-
praiamento pelo sistema jurídico nacional. O próprio Supremo
Tribunal Federal se valeu dos conceitos e princípios da lei para
reconhecer a existência, na Constituição federal, de um direito
fundamental implícito à proteção de dados pessoais, quando do
julgamento da ação direta de inconstitucionalidade n.º 6387-DF.
Fato é que as discussões em torno da proteção de
dados são inesgotáveis, mesmo porque a própria lei ainda não
foi exaustivamente interpretada pela Autoridade Nacional de
Proteção de Dados (ANPD), sequer minimamente regula-
mentada, permanecendo ainda um hiato regulatório preocu-
pante, que precisa ser sanado.
Daí que, enquanto a solução não alcança efetividade
por quem detém a competência legal para tanto, é na doutrina
que a sociedade brasileira encontrará resposta e orientação,
razão pela qual a obra LGPD 2022: Debates e temas relevan-
tes mostra-se tão atual, quanto necessária.
O livro reúne trinta e sete artigos, primorosa e cui-
dadosamente elaborados por profissionais experimentados,
através da prática cotidiana, nas diversas matérias tratadas,
revelando uma comunhão salutar entre teoria e prática, com
suscitação de desafios contemporâneos em matéria de prote-
ção de dados e o devido encaminhamento esclarecedor.
Mesclando assuntos complexos e desafiadores, tanto
quanto inovadores, a obra promove diálogos necessários dos
temas em estudo com a LGPD, daí resultando reflexões impor-
tantes sobre, por exemplo, a gestão de riscos, a implementa-
ção do open finance no Brasil, a construção de um conceito de
compliance by design, as preocupações necessárias na depu-
ração da conformidade em privacidade de operações de aqui-
sição e fusão empresarial; e os riscos em torno da adoção de
design persuasivo e práticas deceptivas para o titular de dados.
Tudo isso sem desprezar temas recorrentes na temá-
tica, como a excepcional abordagem sobre o legítimo interes-
se na visão do regulador nacional, a exploração do direito à
portabilidade em face do direito concorrencial e os desafios
indicados quanto à anonimização e pseudonimização, instru-
mentos relevantes e muito pouco explorados pelo legislador.
O livro toca, ainda, tema sem solução doutrinária, ou
seja, a responsabilidade civil no tratamento de dados pessoais,
em interlocução com o regime previsto no Código de Defesa do
Consumidor. Outro assunto de importância incomensurável é a
construção de governança de privacidade e proteção de dados,
com especial enfoque em programas de conscientização. Ora,
não há mecanismo ou política de conformidade em privacidade
que se torne efetivo sem o aculturamento de colaboradores, daí a
LGPD 2022: Debates e temas relevantes
relevância singular de ações educativas – aliás, como bem desta-

ca o artigo, elemento cuja implementação recorrente por agente
de tratamento será levada em consideração quando de eventual
fiscalização e processamento pela ANPD, a fim de atenuar a pu-
nibilidade. Mas não só: quando se fala em programa de privaci-
dade, é indissociável adotar métricas de desempenho adequadas,
outro aspecto Temático,de relevância ímpar, abordado.
De forma a ampliar sua utilidade ao leitor, o livro
também oferece visões estratégicas de negócios, quando apre-
senta, por exemplo, orientações acerca da importância, cada
vez maior, da contratação de seguros de responsabilidade ci-
bernéticos. Ainda dentro do escopo de elementos negociais,
o livro oferece saudável visão sobre os mecanismos de visual
law e legal design como instrumentos de maior efetividade
na comunicação com o titular e na efetivação do princípio da
transparência previsto na LGPD. Além de tantos outros deba-
tes importantes, todos apresentados com muita propriedade
pelos coautores deste apanhado doutrinário.
O que se adquire, portanto, ao consumir a inteligên-
cia coletiva da presente obra, não é apenas uma visão dou-
trinária, jurídica e técnica acerca dos temas e desafios con-
temporâneos e mais relevantes em diálogo permanente com
a LGPD, mas, também, conhecimento estratégico, seja para
amoldar serviços, negócios e atividades relacionadas ao tra-
tamento de dados pessoais, seja para fomentar o necessário e
inestimável debate social em torno do tema.
Dignos de registro devem ser os cumprimentos às coor-
denadoras, Ana Paula Canto de Lima e Eduarda Chacon Rosas, que
souberam unir assuntos tão convergentes e atuais para a promoção
de uma maturidade regulatória mais que necessária no Brasil.
Fabrício da Mota Alves, em setembro de 2022.
5
COORDENADORAS
ANA PAULA DE CANTO LIMA

Advogada, palestrante, especializada em Direito Digital,
Privacidade e Proteção de Dados, mestra PGCDS-UFRPE,
fundadora do escritório Canto de Lima Advocacia, escri-
tora e coordenadora de diversas obras jurídicas, professora
de pós-graduações no Brasil e de cursos de extensão so-
bre o tema. Presidente da Comissão de Proteção de Dados
da OAB/PE. Membro fundador da Academia Brasileira de
Ciências Criminais, onde preside a Comissão de Crimes
Cibernéticos. Fundadora do Império Jurídico e da Internet
Blindada. Co-fundadora do LGPD Learning Edutech, da
plataforma “Cadê meu Dado?” LinkedIn: Ana Paula Canto
de Lima - Instagram: @anacantodelima - E-mail: anapau-
la@cantodelima.com.br
EDUARDA CHACON ROSAS

Advogada especializada em Data Privacy, IA e Tribunais
Superiores. Mestre pela UNB e Pesquisadora no IDP.
ECPC-B DPO certificado pela Universidade de Maastri-
cht. Certificado pela London School of Economics and
Political Science em Ethics of AI. E da FIAP como Data
Protection Officer. Fellow na IV South School of Internet
Governance, SSIG (2017). Membro do Comitê de Pro-
teção de Dados da OAB/DF e do Comitê de Inteligência
Artificial do CFOAB. Ex Vice-Chair of Dispute Resolu-
tion Committee da ITECHLAW Association (2018/2020).
LinkedIn: eduarda-chacon-rosas. E-mail: eduardachacon-
rosas@gmail.com
APRESENTAÇÃO
Quando nos reunimos para planejar uma obra que re-

tratasse o marco de dois anos de vigência da Lei Geral de
Proteção de Dados (LGPD), tínhamos muito claro em nossas
mentes o desafio pela frente. Mas não foi na dificuldade que
nos concentramos, e sim no sentimento gratificante que, sa-
bíamos, viria para nós e para todos os autores envolvidos.
O aniversário da LGPD, com efeito, pode ser contado
a partir de diversas datas, desde a promulgação da lei, pas-
sando pelo início da vigência, até o dia em que as sanções se
tornaram teoricamente aplicáveis; fechando um longo ciclo
de ajustes pelo qual todos vivemos como sociedade.
Escolhemos o início da vigência, em 18 de setem-
bro de 2020, porque acreditamos que é a data que simboliza
o momento no qual a importância de respeito às regras de
proteção de dados se tornou “real”. Foi o início de uma jor-
nada que irá, um dia, levar a todas as pessoas, empresas e
governos à conclusão de que a cultura privacidade deve ser
protegida e resguardada, e que isso pode ser feito de modo
ponderado e constante, em harmonia com o desenvolvimen-
to econômico e tecnológico.
Este livro é um tributo, assim, não apenas à lei, mas a
todos os que têm trabalhado, na linha de frente e nos bastidores,
para fazê-la se concretizar como a sua melhor versão possível.
Para atingir esse objetivo, imaginamos uma obra em que
juristas pudessem compartilhar suas ideias, teses e ensinamentos
com o maior número possível de pessoas, afinal: a proteção de
dados precisa fazer parte do vocabulário de toda a sociedade.
Da leitura dos textos que costuramos juntos, é possí-
vel efetivamente visualizar o amadurecimento de um novo
tipo de atuação jurídica. Somos um grupo de juristas capa-
citados para operar internacionalmente porque as regras de
proteção de dados e privacidade são do mundo e circulam por
todo ele. Abandonamos o excesso de ortodoxia porque com-
preendemos que o Direito não se basta mais em si mesmo,
mas precisa aprender “por aí”. Resolvemos absorver coisas
novas, mergulhar na tecnologia e, com nosso criticismo “de
fábrica”, ressignificar o determinismo.
Escrevemos sobre tudo o que sabemos, mas também
sobre as nossas dúvidas; porque entendemos que as respostas
nem sempre são corretas, mas podem ser suficientes – pelo me-
nos por um tempo – quando se dedicam às perguntas certas.
Foi um imenso prazer para nós, como coordenadoras,
acompanhar este processo de perto e ver a luz de tantas men-
tes brilhantes. Com a ajuda de valor incalculável dos autores
construímos este projeto formidável, tijolo por tijolo, letra
por letra até que se tornasse uma obra democrática, técnica
e consistente. Nossa gratidão a todos os que acreditaram na
ideia e que lhe deram asas. Agora, basta deixá-la voar.
Que venham os futuros aniversários, as próximas cri-
ses existenciais, incertezas e epifanias. Feliz aniversário LGPD!
18 de setembro de 2022
Ana Paula Canto de Lima

Eduarda Chacon Rosas
SUMÁRIO
LGPD E A IMPLANTAÇÃO DE UMA GESTÃO DE

RISCOS PARA SEGURANÇA DE PRIVACIDADE E 13
DADOS PESSOAIS
Adriana S. L. Esper e Ricardo Esper
COOKIES E PROTEÇÃO DE DADOS SOB A

PERSPECTIVA DO GDPR E DA LGPD 30
Ana Cristina Oliveira Mahle e Ana Paula Canto de Lima
AS “DARK PATTERNS” SOB AS PERSPECTIVAS DA

PROTEÇÃO DE DADOS PESSOAIS E DA DEFESA DO 46
CONSUMIDOR
Ana Paula M. Canto de Lima e Giovanna Sesti Lahude
AUTODETERMINAÇÃO INFORMATIVA E OS
LIMITES DO CONSENTIMENTO NAS RELAÇÕES DE 63
CONSUMO
Carolina Chiavaloni Ferreira Buccini
“COMPLIANCE BY DESIGN”: ALINHANDO O

PROGRAMA DE COMPLIANCE À CULTURA ÉTICA DE 79
PRIVACIDADE E PROTEÇÃO DE DADOS PESSOAIS
Clarissa Lima
DIÁLOGOS ENTRE A LEI GERAL DE PROTEÇÃO DE

DADOS E O OPEN FINANCE 96
Daniel Becker, Beatriz Haikal e Aylton Gonçalves
O DIREITO PROCEDURAL DA LEI GERAL DE

PROTEÇÃO DE DADOS (“LGPD”) 110
Daniel T. Stivelberg
PARTICULARIDADES DOS CONDOMÍNIOS À LUZ

DA LEI GERAL DE PROTEÇÃO DE DADOS (LGPD) 133
Débora Leal Soares de Castro e Talitha Dias Martins Leite
SOCIEDADE DIGITAL E LGPD: UM OLHAR SOBRE O

FUTURO QUE JÁ CHEGOU 153
Denielle Maria Vieira Oliveira Gil e Adriana Tocchet Wagatsuma
SUMÁRIO
A RESPONSABILIDADE CIVIL NO TRATAMENTO DE

DADOS PESSOAIS – DIÁLOGOS ENTRE A LGPD E O CDC 173
Denis Brum Marques, Ramon Terroso Carneiro e Lorrane Tolentino Custódio
A RELEVÂNCIA DOS SEGUROS CIBERNÉTICOS NO

CONTEXTO DA LGPD 193
Dionice de Almeida
PROTEÇÃO DE DADOS: BOAS PRÁTICAS NO SETOR

EDUCACIONAL 210
Edmée Maria Capovilla Leite Froz
AS MEDIDAS DE SEGURANÇA E AACCOUNTABILITY

DO AGENTE DE TRATAMENTO DE DADOS PESSOAIS 229
NO ÂMBITO EXTRAJUDICIAL
Eduarda Chacon Rosas e Sayuri Pacheco Hamaoka
MAPEAMENTO DE DADOS PESSOAIS 248

Eduardo Maroso
A RELEVANTE DISTINÇÃO DE DADOS PESSOAIS E

DADOS PESSOAIS SENSÍVEIS 262
Elaine Keller
A BASE LEGAL DE EXECUÇÃO DE POLÍTICAS

PÚBLICAS POR ORGANIZAÇÕES SOCIAIS (OS) E 279
ORGANIZAÇÕES DA SOCIEDADE CIVIL (OSCIP)
Fabiane Oliveira Borges da Silva
A HERANÇA DIGITAL PELO MUNDO E NO BRASIL:

ALGUMAS REFLEXÕES
295
Fernanda Mathias de Souza Garcia
STARTUPS E RIPD: AVALIANDO A PRIVACIDADE EM

SOLUÇÕES INOVADORAS 314
Gabriel Lima Lins
AUDITORIA INTERNA: UMA FUNÇÃO DO

ENCARREGADO PELO TRATAMENTO DE DADOS 334
PESSOAIS?
Hélio André Medeiros Batista
SUMÁRIO
LEI GERAL DE PROTEÇÃO DE DADOS –

COMUNICAÇÃO FÁCIL COM AS PARTES
INTERESSADAS USANDO LINGUAGEM SIMPLES,
353
LEGAL DESIGN E VISUAL LAW
Isabela Abreu
A ACCOUNTABILITY DO AGENTE DE TRATAMENTO

DE DADOS PESSOAIS: UMA ANÁLISE SOBRE A
372
AUTONOMIA DA AUTORIDADE NACIONAL DE
PROTEÇÃO DE DADOS
Isadora Helena Gardés Cardoso
LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS

NA SAÚDE: DESAFIOS NA SUA APLICAÇÃO NOS 389
ESTABELECIMENTOS DE SAÚDE
Janaina Ageitos Martins De’ Carli
A APLICAÇÃO DA LEI GERAL DE PROTEÇÃO DE

DADOS NO E-COMMERCE 402
Louana Costa e Maria Claudia
PROGRAMA DE CONSCIENTIZAÇÃO 423

Márcia Guanabara
PROTEÇÃO DE DADOS E PRIVACIDADE: UMA

ANÁLISE DOS JULGADOS E SUA EVOLUÇÃO 441
Marcus Vinícius Higino Maida e Milla Cerqueira
QUANTIFICANDO O QUE IMPORTA: MÉTRICAS

DE DESEMPENHO E SUA IMPORTÂNCIA PARA O
PROGRAMA DE PRIVACIDADE 467
Maria Beatriz Saboya Barbosa
O DEVER DE INDENIZAR POR QUEBRA DE SIGILO

DAS COMUNICAÇÕES PELA PUBLICAÇÃO DE 488
MENSAGENS PRIVADAS EM APLICATIVOS
Marina de Araújo Lopes
O LEGÍTIMO INTERESSE NA LGPD E A VISÃO DA ANPD 508

Matheus Passos Silva
SUMÁRIO
TRANSFERÊNCIA INTERNACIONAL DE DADOS NO

ÂMBITO DO CLOUD COMPUTING E OS DESAFIOS 530
ENFRENTADOS PELA LGPD
Nara Telles Gonçalves
TUTELA COLETIVA DE DIREITO DOS

TRABALHADORES NA CONDIÇÃO DE TITULARES
DE DADOS PESSOAIS: ASPECTOS DOUTRINÁRIOS 545
E BREVE EXAME DE DECISÃO DO TRIBUNAL
REGIONAL DO TRABALHO DA 4ª REGIÃO
Newton de Lavra Pinto Moraes
RELATÓRIO DE IMPACTO À PROTEÇÃO DE DADOS

PESSOAIS NOS TRIBUNAIS 566
Oscar Valente
OS DESAFIOS NA UTILIZAÇÃO DA ANONIMIZAÇÃO

E PSEUDONIMIZAÇÃO 579
Paula Amaral
A AUTODETERMINAÇÃO INFORMATIVA E O
USO SECUNDÁRIO DE DADOS PESSOAIS PELA 599
ADMINISTRAÇÃO PÚBLICA: QUAIS SÃO OS LIMITES?
Rachel Rezende Bernardes e Rafael da Silva Alvim
A PUBLICIDADE REGISTRAL E O RISCO RELATIVO

À PROTEÇÃO DE DADOS PESSOAIS 614
Rafale Castilho
PRIVACIDADE E PROTEÇÃO DE DADOS EM FUSOES

E AQUISICOES DE EMPRESAS 630
Susane Leone
A PORTABILIDADE DE DADOS DA LGPD EM

ANÁLISE À LUZ DO DIREITO CONCORRENCIAL
651
Thomas Dantas
A EFETIVIDADE DAS SANÇÕES ADMINISTRATIVAS

DA LGPD NA ADMINISTRAÇÃO PÚBLICA 669
Venício Dantas
LGPD E A IMPLANTAÇÃO DE UMA GESTÃO DE

RISCOS PARA SEGURANÇA DE PRIVACIDADE E
DADOS PESSOAIS
Adriana S. L. Esper1
Ricardo Esper2
I. INTRODUÇÃO
“O futuro já chegou; só não foi ainda igualmente

repartido” é uma frase atribuída ao futurólogo e autor de
ficção científica William Gibson, que nos leva refletir sobre
os desafios da nossa atualidade, dessa nossa nova sociedade
onde a tecnologia sai da ficção e se torna parte do nosso dia a
dia. Bem-vindos ao Admirável Mundo Novo.
Estamos passando pela maior disrupção da história e

a tecnologia é uma grande facilitadora dessas mudanças. Há
um consenso sobre como a tecnologia é bem-vinda. Ela nos
apaixona e torna nossa vida mais cômoda. Porém, graças a ela,
nunca tivemos uma vida tão líquida e exposta. A pandemia, é
bem verdade, impulsionou esta exposição. Ao mesmo tempo
em que aceitamos, muitas vezes voluntariamente, nos expor
no mundo digital, nunca se falou tanto sobre a importância e
a segurança da nossa privacidade.
1
Advogada especializada em Direito Digital e Tecnologia, com MBA em
Compliance e Gestão de Riscos. Professora de Compliance e Ética Digital da
Fundação Instituto de Pesquisas (FIPE).
2
DPO. Information/Cyber Security Specialist
13
Privacidade, entretanto, nem sempre teve a conotação

positiva dos dias atuais. Na Antiguidade, privacidade estava
relacionada aos seres privados de pertencer à sociedade, i.e.,
os escravos. O conceito atual começa a ser formado a partir
da primeira revolução industrial, com a criação de tecnologias
que facilitavam a vida humana. O conceito de privacidade
como o conhecemos atualmente aparece pela primeira vez
em 1890, em um artigo de Louis Brandeis e Samuel Warren,
chamado The Right of Privacy, que aborda a invasão da
privacidade de uma festa de casamento com utilização de
uma inovação tecnológica da época – a fotografia.
Em tão pouco tempo evoluímos bastante. Estamos

vivendo na era da tecnologia da informação. Na verdade, a
informação sempre foi um bem valioso. O que diferencia
atualmente e a valoriza mais é o nosso grau de dependência,
que foi impulsionado pela revolução digital, que popularizou
a internet e proporcionou uma rápida circulação digital de
farto volume de informações e dados, o chamado Big Data.
A exploração destas informações foi o grande gatilho para a
criação de normas mais efetivas para a proteção de nossos
dados e privacidade, tendo como um dos seus princípios
fundamentais a segurança.
E isto se justifica, pois, em um mercado extremamente

competitivo onde as informações estão ganhando valor
inestimável, os bancos de dados enfrentam vários riscos
notáveis. A digitalização da economia, ao mesmo tempo em que
fomenta os negócios das empresas, também as expõe a várias
vulnerabilidades. Não é a toa que observamos um aumento
significativo de ameaças cibernéticas nos últimos anos.
14
Este estudo procura abordar a importância da nossa Lei

Geral de Proteção de Dados – LGPD, ou Lei 13.709/18, na
implantação de uma gestão de riscos de segurança de proteção
de dados e privacidade.
II. DESCARTE VELHAS REGRAS, ADOTE NOVAS

LEIS, E QUE LEIS SÃO ESTAS?
Podemos dizer que o continente europeu foi o percursor

dos normativos de proteção de privacidade e de dados
pessoais. Em 1953, provavelmente impulsionada pelo terror
e devastação da vida privada decorrentes da Segunda Guerra
Mundial, é aprovada a Convenção Europeia dos Direitos do
Homem garantindo que todas as pessoas têm o direito ao
respeito da sua vida privada e familiar, do seu domicilio e da sua
correspondência. Na Convenção 108 do Conselho da Europa,
de 1981, aparece a primeira regulamentação de proteção
de dados, expressando também o respeito pelos direitos e
liberdades fundamentais, especialmente pelo direito à vida
privada, face ao tratamento automatizado dos dados de caráter
pessoal. A Diretiva 95/46/CE passou a ser a legislação europeia
de proteção de dados até ser substituída pelo Regulamento
Geral sobre Proteção de Dados (GDPR), em maio de 2018.
A segurança dos dados coletados e processados é uma

das razões de existir do GDPR. Nesse sentido, o Regulamento
exige que todas as organizações que tratem dados pessoais na
União Europeia adotem as mais avançadas medidas técnicas
para conferir nível de segurança adequado ao tratamento e
ao uso dos dados coletados, de acordo com a probabilidade e
gravidade de potenciais violações de tais dados aos direitos e
liberdades individuais.
15
O GDPR foi uma das fontes de inspiração da nossa

LGPD, que foi sancionada em agosto de 2018 e entrou
em vigor em setembro de 2020. A Autoridade Nacional de
Proteção de Dados - ANPD, responsável pela regulamentação,
fiscalização e aplicação de sanções da lei, foi oficialmente
instituída em novembro de 2020. Em fevereiro de 2022, a
Emenda Constitucional nº 115 incluiu a proteção de dados
pessoais entre os nossos direitos e garantias fundamentais.
Lembramos, ainda, que a Lei nº 14.155/21 alterou nosso

Código Penal para tornar mais graves os crimes de fraude,
furto e estelionato quando praticados com o uso de dispositivos
eletrônicos como celulares, computadores e tablets.
III. DA LGPD E A SEGURANÇA
A LGPD tem por escopo, o tratamento de dados pessoais,

inclusive nos meios digitais, efetuado por pessoa natural ou
por pessoa jurídica de direito público ou privado, com o
objetivo de proteger os direitos fundamentais de liberdade e
de privacidade e o livre desenvolvimento da personalidade da
pessoa natural.
A LGPD é uma legislação multidisciplinar. É praticamente

um regulamento que estabelece os fundamentos, princípios,
direitos, responsabilidades, fiscalização, penalização,
territorialidade, pertinentes à proteção de dados pessoais.
E a segurança dos dados pessoais é também uma das

grandes preocupações da LGPD. A palavra segurança é citada pelo
menos 25 vezes no texto da Lei. Segurança, inclusive, é um dos
16
princípios elencados no art. 6º da LGPD: “utilização de medidas

técnicas e administrativas aptas a proteger os dados pessoais de
acessos não autorizados e de situações acidentais ou ilícitas de
destruição, perda, alteração, comunicação ou difusão”.
Outro princípio também elencado no art. 6º da Lei é o da

prevenção, i.e., adoção de medidas para prevenir a ocorrência
de danos em virtude do tratamento de dados pessoais e que
está intrinsicamente relacionado ao princípio da segurança.
O capítulo VII da LGPD é dedicado à segurança e boas

práticas. A norma estabelece que os agentes de tratamento devem
adotar medidas de segurança, técnicas e administrativas aptas a
proteger os dados pessoais dos chamados incidentes de segurança,
i.e., evento, confirmado ou sob suspeita, relacionado à violação na
segurança de dados pessoais, tais como, acesso não autorizado,
acidental ou ilícito, que resulte na destruição, perda, alteração,
vazamento ou qualquer forma de tratamento inadequado ou ilícito,
que possa acarretar risco ou dano relevante aos titulares.
Essas medidas deverão ser adotas desde a fase de

concepção do produto ou serviço até a sua execução, deixando
entender que recomenda, a exemplo do GDPR, a adoção da
ferramenta privacy by design, que tem como proposta central
incorporar a privacidade e a proteção de dados pessoais em
todos os projetos desenvolvidos por uma organização, desde a
sua concepção, i.e., a segurança deve ser observada de ponta
a ponta, durante todo o ciclo de vida do tratamento, inclusive
após o seu encerramento. Note que a LGPD determina que os
sistemas utilizados para o tratamento de dados pessoais devem
ser estruturados de forma a atender aos requisitos de segurança.
17
Nesse sentido, recomenda-se que os agentes de

tratamento, no âmbito de suas competências, formulem regras
de boas práticas e de governança que estabelecem, dentre
outras, normas de segurança, padrões técnicos, mecanismos
internos de supervisão e de mitigação de riscos.
Muito embora a LGPD exija a adoção de as boas

práticas para mitigação de riscos de segurança, estas não são
elencadas em seu texto. A Lei delega esta função à ANPD.
Contudo, a LGPD (art. 38) faz referência ao chamado
Relatório de Impacto à Proteção de Dados Pessoais, que deverá
incluir a metodologia utilizada para a garantia da segurança
das informações e a análise das medidas, salvaguardas
e mecanismos adotados para mitigar riscos. Importante
destacar que este relatório não é mandatório, contudo, poderá
ser solicitado pela ANPD, principalmente em tratamento
envolvendo riscos aos chamados dados pessoais sensíveis.
A ANPD e os órgãos e entidades públicos responsáveis

pela regulação de setores específicos da atividade econômica
e governamental devem coordenar suas atividades, nas
correspondentes esferas de atuação, com vistas a assegurar
o cumprimento de suas atribuições com a maior eficiência e
promover o adequado funcionamento dos setores regulados,
conforme legislação específica e a LGPD (art. 55 J, § 3º).
Nesse sentido, no que diz respeito ao quesito segurança,
notamos que alguns órgãos regulatórios, como o Banco
Central do Brasil3, Comissão de Valores Mobiliários - CVM4,
Superintendência de Seguros Privados - SUSEP5 e a Agência
3
Resolução BCB Nº 85/2021
⁴ Resolução CVM Nº 135/2022
5
Circular SUSEP n.º 638/21
18
Nacional de Energia Elétrica- ANEEL6, emitiram normativos

relacionados à segurança cibernética de seus regulados.
O tratamento de dados pessoais será irregular quando deixar

de observar a legislação ou quando não fornecer a segurança que
o titular dele pode esperar, e sujeitará o agente de tratamento a
sanções, que podem chegar a R$ 50 milhões por infração. Note que,
na aplicação das penalidades, a ANPD levará em consideração a
adoção reiterada e demonstrada de mecanismos e procedimentos
internos capazes de minimizar o dano, voltados ao tratamento
seguro e adequado de dado (art. 52, § 1º).
Destacamos que boa parte das multas já aplicadas no

continente europeu são relacionadas a falta de observância
de quesitos de segurança. A título de exemplo, citamos as
penalidades impostas pela autoridade de proteção de dados do
Reino Unido (Information Commissioner’s Office – ICO) à
companhia aérea British Airways, no valor equivalente a s £20
milhões e à rede hoteleira Marriott, no valor de £18.4 milhões.
De acordo com a ICO, as situações que levaram ao incidente de
dados nessas empresas eram prevísseis e tanto a British Airways
como a Marriott falharam em adotar as devidas medidas de
segurança que poderiam ter mitigado ou evitado os incidentes.
Muito embora, até o presente momento, a ANPD ainda

não tenha iniciado o processo de fiscalização, levando em
consideração as comunicações, guias e resoluções já emitidos
por parte da autoridade, quer nos parecer que a segurança de
dados e respectivos incidentes serão um dos principais focos
de sua atuação.
6
Resolução Normativa nº 964/2021
19
IV. DA IMPORTÂNCIA DA SEGURANÇA, SEU

CONCEITO, PRINCIPAIS AMEAÇAS E MEDIDAS DE
PREVENÇÃO
Uma das definições que encontramos em nossos

dicionários pátrios para o vocábulo segurança é a condição
ou estado daquilo que está livre de danos ou riscos7.
O risco, todos sabemos, é inerente ao ser humano.

Nascemos, crescemos e morremos sob a penumbra dos
nossos anseios e inseguranças. Não é diferente no mundo dos
negócios. A ISO8 31073:2022 define risco como o efeito da
incerteza nos objetivos. Efeito é um desvio em relação ao
esperado, podendo ser positivo, negativo ou ambos, e, dessa
forma, criar ou resultar em oportunidades ou ameaças. Por
isso é importante a adoção de medidas de segurança para
prevenir ou mitigar os efeitos negativos dos riscos. E medidas
de segurança se aplicam a tudo, inclusivo à informação.
A segurança da informação (“SI”) pode ser definida como o

conjunto de ações que visam à preservação da confidencialidade,
integridade, disponibilidade, autenticidade e legalidade da
informação. Com foco na LGPD fica mais fácil entender onde
cada um dos pilares citados acima se encaixa. Esse conjunto de
ações impacta todo o ambiente institucional das empresas, com
o objetivo de prevenir, detectar e combater as ameaças digitais.
A norma ISO 27001 é referência internacional para a

gestão da SI, e tem como principio geral a adoção de conjunto
Michaelis, Dicionário de Língua Portuguesa.

7
International Organization for Standardization

8
20
de requisitos, processos e controles com o objetivo de mitigar

e gerir adequadamente o risco da organização. Por sua vez, a
ISO 27701, especifica os requisitos e fornece orientações para
estabelecer, implementar, manter e melhorar continuamente
um Sistema de Gestão de Privacidade da Informação.
Nesse contexto também se insere a segurança

cibernética cuja principal função é garantir que os usuários
de meios digitais se protejam contra ataques cibernéticos
(i.e., ataques maliciosos e/ou acessos não autorizados) em
sistemas, infraestrutura de rede, programas e aplicativos.
Atualmente, os ataques cibernéticos mais comuns

são: (i) ransomware, bloqueia os arquivos e dados de um
usuário, com a ameaça de apagá-los, a menos que um resgate
seja pago; (ii) malware, softwares criados com a intenção
de causar danos ao computador ou servidor; (iii) phising,
utilizado para enganar usuários fazendo com compartilhem
dados pessoais ou informações confidenciais.
De acordo com o Relatório de Riscos e Conflitos de

2021 , o volume de incidentes de segurança cibernética
9
cresceu de forma significativa em 2020. Estes indicadores

são também o resultado da pandemia e da rápida adoção de
novas formas de trabalhar e de interagir no mundo digital.
O futuro já chegou e os hackers já se deram conta disso.

E nós? Atualmente, o risco de ser atacado é igualitário a
9
Relatório de Riscos e Conflitos de 2021 (Observatório de Cibersegu-
rança – CNCS). Disponível em: https://www.cncs.gov.pt/pt/observatorio.
Acesso em: 27 jun. 2022
21
qualquer usuário, antes eram limitados a grandes empresas e

entidades, mas atualmente um simples usuário pode ser alvo
de um ataque hacker. Infelizmente, incidentes de segurança
acontecerão, apesar de nossos melhores esforços, por isso
devemos estar preparados para responder e nos recuperar
de forma rápida e efetiva. E como alcançamos tudo isso?
Através de um programa bom de gestão de riscos de SI.
Este programa visa obter um equilíbrio eficiente entre a
concretização de oportunidades de ganhos e a minimização
de vulnerabilidades e perdas, além de ser um importante
elemento da boa governança e das boas práticas da empresa.
O National Institute of Standards and Technology

– NIST, conhecido pelas recomendações e frameworks
de segurança, destaca: (i) a segurança é um requisito
fundamental; (ii) todos na organização têm um papel a
desempenhar na segurança; (iii) a segurança requer melhoria
contínua e adaptação; (iv) os riscos de segurança devem ser
gerenciados de forma proativa. Resumindo a segurança é
problema de todos dentro de uma empresa.
As pessoas dentro de uma organização podem ser,

simultaneamente, a sua primeira linha de defesa como a sua
maior vulnerabilidade. Por isso devemos dar prioridade ao pilar
das pessoas, investindo na sua capacitação, proporcionando uma
mudança de mentalidade mais direcionada ao risco. As pessoas
são a base da pirâmide e sem elas não nos é possível construir
uma base sólida na defesa contra os ataques cibernéticos, sendo
crucial o envolvimento de todas as camadas da organização.
Importante lembrar também que existe ainda o custo

jurídico envolvendo estes ataques. Pesquisas recentes de jurimetria
22
apontam que em 2021 quase 40% dos processos judiciais

envolvendo a LGPD são relacionados a incidentes de segurança.10
Para uma melhor efetividade dos projetos de

gerenciamento de riscos cibernéticos a serem implantados,
são necessárias premissas como conhecimento das rotinas de
atividade da organização. É uma empreitada multidisciplinar,
pois muitas das entidades têm em suas rotinas pequenas
brechas de segurança que aumentam as possibilidades de
incidente. Um simples detalhe pode tornar uma empresa
preferencial ou não para um ataque. Contudo, resoluções e
medidas bem elaboradas podem elevar (e muito) o nível de
maturidade e mitigação de riscos.
Cientes da importância, autoridades de proteção de

dados ao redor do mundo têm se empenhado em recomendar
sugestões de medidas de segurança de informação com o
intuito de promover um ambiente institucional mais seguro.
Essas medidas devem ser entendidas como boas práticas e
devem ser complementadas com outras que possam ser
identificadas como necessárias para promover a segurança
no fluxo informacional da organização. Destacamos algumas
medidas sugeridas pela ANPD em seu Guia Orientativo de
Segurança da Informação para Agentes de Tratamento de
Pequeno Porte, muitas delas recomendadas pelo NIST, a
saber: (i) adoção de política de segurança de informação – PSI;
(ii) conscientização e treinamento de todos os funcionários da
organização, especialmente aqueles diretamente envolvidos
na atividade de tratamento de dados.
10
RELATÓRIO ANUAL DE JURIMETRIA - 2021https://images.jota.
info/wp-content/uploads/2022/01/relatacc83c2b3rio-anual-jurimetria-
-24-01-versacc83o-final.pdf. Acesso em 02/07/2022
23
Uma PSI deve ser fácil de entender, caso contrário ela

não será posta em prática. Além disso, deve ser possível de
executar, com regras claras e objetivas, e deve ser aprovada
no mais alto nível da hierarquia da empresa. Os funcionários
deverão entender que as regras serão implementadas com
rigor e energia passíveis de sanções para os que ousarem
violá-las, e sem essa condição logo haverá muitas exceções.
A gestão do risco depende das pessoas que o manejam,

daí a premissa de que seu sucesso ou fracasso será resultado das
escolhas dos seus condutores. A simples adoção de uma PSI ou
mesmo certificações na ISO 27001 e na ISO 27701, não tornam
empresas mais seguras, assim como martelos e serras sozinhos
não produzem móveis. Em ambos casos, são ferramentas
necessárias, mas que precisam de utilização inteligente.
A LGPD, ao estabelecer regras de boas práticas,

determina que os agentes de tratamento deverão levar
em consideração a natureza, o escopo, a finalidade, a
probabilidade e a gravidade dos riscos e os benefícios
decorrentes de tratamento de dados do titular. A Lei, inclusive,
dá uma diretriz para a implantação de uma gestão de riscos
de SI. Nesse sentido, recomenda a LGPD, que seja elaborado
um programa de governança em privacidade e proteção de
dados, levando em consideração a estrutura da organização,
a natureza, tipo e o volume dos dados tratados, as finalidades
do tratamento, a existência ou não de compartilhamento de
dados, tempo e forma de armazenamento, a probabilidade
e a gravidade dos danos para os titulares dos dados. A Lei
destaca que esse programa de governança, no que diz respeito
à segurança e mitigação de riscos, deverá estabelecer políticas
e salvaguardas adequadas com base em processo de avaliação
24
sistemática de impactos e riscos à privacidade e que o mesmo

seja atualizado constantemente com base em informações
obtidas a partir de monitoramento contínuo e avaliações
periódicas (art. 50).
V. O QUE FAZER EM CASO DE INCIDENTE DE

SEGURANÇA DE DADOS PESSOAIS?
A LGPD também incluiu em suas recomendações que o

programa de governança em privacidade e proteção de dados
deve conter planos de resposta a incidentes e remediação.
No que diz respeito a ocorrência do incidente de

segurança que possa acarretar risco ou dano relevante aos
titulares, a LGPD (art. 48) determina que o controlador deverá
comunicar o ocorrido à ANPD e ao titular na maior brevidade
possível11. Essa comunicação deverá mencionar, no mínimo:
(i) descrição da natureza dos dados pessoais afetados; (ii)
informações sobre os titulares envolvidos; (iii) indicação das
medidas técnicas e de segurança utilizadas para a proteção
dos dados, observados os segredos comercial e industrial; (iv)
riscos relacionados ao incidente; (v) os motivos da demora,
no caso de a comunicação não ter sido imediata; e (vi)
medidas que foram ou que serão adotadas para reverter ou
mitigar os efeitos do prejuízo. A ANPD verificará a gravidade
do incidente e poderá, caso necessário para a salvaguarda dos
direitos dos titulares, determinar que o fato seja divulgado em
meios de comunicação bem como adoção de medidas para
reverter ou mitigar os efeitos do incidente.
O prazo de comunicação ainda não está recomendado, mas a ANPD

11
entende que seja considerado a título indicativo o prazo de 2 dias úteis,

contados da data do conhecimento do incidente.
25
Dessa forma, a avaliação do incidente por uma equipe

multidisciplinar que esteja envolvida e seja conhecedora
do programa de governança de SI se faz necessária, pois é
a partir dela que as ações serão tomadas. Como dissemos,
a LGPD ainda está sendo regulamentada, mas a ANPD já
divulgou orientações a serem tomadas quando do incidente
de segurança12, inclusive disponibilizou um formulário para a
sua comunicação, se necessária.
VI. CONSIDERAÇÕES FINAIS
A implantação de uma gestão de riscos de segurança de

proteção de dados e privacidade é um dos requisitos de adequação
à LGPD, uma vez que a Lei determina que as organizações
deverão adotar medidas técnicas e administrativas aptas a
proteger os dados pessoais bem como prevenir a ocorrência de
incidentes de segurança. Assim, podemos concluir que a Lei
possui um importante papel na implantação da gestão de riscos
para segurança de privacidade de dados pessoais.
O sucesso dessa gestão de riscos dependerá se sua

concepção envolver todos os interlocutores com os quais a
empresa se relaciona. Uma real transformação do cenário
de SI parte necessariamente do corajoso mergulho nos
conceitos, valores e hábitos presentes em cada organização.
Sem esse processo de autoconhecimento, corre-se o risco de
se elaborar uma ferramenta frágil ou inoperante. E a própria
LGPD reconhece a importância das ações educativas na
implementação dos programas de governança (art. 50).
Segurança é um problema de todos na empresa, é uma

construção coletiva e se trata de um processo contínuo pois
26
deve acompanhar a tecnologia sempre buscando preservar a

confidencialidade, integridade, disponibilidade, autenticidade
e legalidade da informação. O mundo digital e sua segurança
dependem das pessoas que os manejam.
O preço da segurança é a eterna vigilância. Não existe uma

organização que esteja 100% segura contra ataques cibernéticos,
mas podemos, inclusive com base nas recomendações da LGPD,
dificultar o trabalho dos hackers. O futuro também tem que
chegar diariamente aos nossos processos de SI.
Sabemos que a LGPD ainda não está totalmente regulada

e assim as empresas também não se encontram 100% adequadas
à Lei. Entretanto, no que diz respeito ao quesito segurança,
entendemos que teremos uma regulação e adequação em
constante evolução, inclusive por conta do aparecimento de
novas tecnologias, processos de tratamento etc.
A adequação é uma rota de mão única. Regulado e o

regulador caminham para o mesmo destino, embora em vias
diferentes. É importante que haja vontade de ambas as partes
para que não exista colisão, principalmente no quesito de
gestão de riscos de segurança. Todos terão a ganhar, pois a
privacidade e proteção de dados são valores universais.
VII. REFERÊNCIAS
AGÊNCIA NACIONAL DE ENERGIA ELÉTRICA.

Disponível em: <https://www.gov.br/aneel/pt-br> Acesso em
05 jul. 2022.
27
AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS.

Disponível em: <https://www.gov.br/anpd/pt-br/documentos-
e-publicacoes> Acesso em 05 jul. 2022.
BANCO CENTRAL DO BRASIL. Disponível em: <https://

www.bcb.gov.br/> Acesso em 05 jul. 2022.
BRANDEIS, Louis; WARREN, Samuel. The Right of Privacy.

Harvard Law Review, vol iv, nº 5, 1890. Disponível em:
<https://www.cs.cornell.edu/~shmat/courses/cs5436/warren-
brandeis.pdf> Acesso em 05 jul. 2022.
BUTTARELLI, Giovanni. Choose Humanity: Putting

Dignity Back into Digital. Disponível em: <https://edpl.
lexxion.eu/article/EDPL/2018/4/25> Acesso em 07 jul. 2022.
CAVOUKIAN, Ann. Privacy by Design, The 7 Foundational

Principles. Disponível em: <https://www.ipc.on.ca/wp-content/uploads/
resources/7foundationalprinciples.pdf> Acesso em 07 jul. 2022.
COMISSÃO DE VALORES MOBILIÁRIOS. Disponível

em: <https://www.gov.br/cvm/pt-br> Acesso em 05 jul. 2022.
DAMODARAN, Aswath. Gestão estratégica do risco: uma referência

para a tomada de riscos empresariais. Porto Alegre: Bookman, 2009.
DONDA, Daniel. Guia prático de implementação da

LGPD. São Paulo. Labrador, 2020.
EUROPEAN DATA PROTECTION BOARD. Disponível em:

<https://edpb.europa.eu/edpb_en> Acesso em 05 jul. 2022.
28
HOEREN, Thomas. Big Data and Data Quality in Big Data

in Context (SpringerBriefs in Law). Springer International
Publishing. Kindle Edition, 2018.
INFORMATION COMMISSIONER’S OFFICE. Disponível

em: <https://ico.org.uk/> Acesso em 05 jul. 2022.
INTERNATIONAL ORGANIZATION FOR

STANDARDIZATION. Disponível em: <https://www.iso.
org> Acesso em 06 jul. 2022.
NATIONAL INSTITUTE OF STANDARDS AND

TECHNOLOGY. Disponível em: <https://www.nist.gov>
Acesso em 07 jul. 2022.
PORTAL DA LEGISLAÇÃO. Disponível em: <http://www4.

planalto.gov.br/legislacao/> Acesso em 05 jul. 2022.
SUPERITENDÊNCIA DE SEGUROS PRIVADOS. Disponível

em: <http://novosite.susep.gov.br/> Acesso em 05 jun. 2022.
SUTHERLAND, Daniel. What Is a Cybersecurity Legal

Practice?. LAW FARE, USA, 2 abr. 2021. Disponível em:
<https://www.lawfareblog.com/what-cybersecurity-legal-
practice> Acesso em: 17 de jun. 2022.
STINE, Kevin; QUINN, Stephen; WHITE, Gregory Witte;

GARDNER, Robert. Integrating Cybersecurity and Enterprise
Risk Management (ERM). Disponível em: <https://csrc.nist.gov/
publications/detail/nistir/8286/final> Acesso em: 27 jul. 2022.
29
COOKIES E PROTEÇÃO DE DADOS SOB A

PERSPECTIVA DO GDPR E DA LGPD
Ana Cristina Oliveira Mahle1

Ana Paula Canto de Lima2
I. INTRODUÇÃO
No Brasil pouco se falava sobre os cookies, o tema era

desconhecido pelo cidadão/titular, mas em pouco tempo, isso
começou a mudar, o assunto surgiu nos sites através de pop
ups e banners de todo tipo, repentinamente barras de rodapé
falando sobre cookies, pedindo autorização e passando in-
formações até então desconhecidas da maioria, passaram a
povoar os sites, para os profissionais que atuam na área de
proteção de dados, os avisos de cookies disponíveis nos sites
estavam longe do esperado, mas a mudança era notável, ago-
ra os cookies passaram a existir para quem os desconhecia.
1
Advogada, especializada em Proteção de Dados e Direito Digital, Membro
Regional da Comissão de Privacidade e Proteção de Dados da OAB/SP; Dou-
toranda e Mestre em Ciência Tecnologia e Sociedade (PPGCTS-UFSCar).
2
Advogada, palestrante, especializada em Direito Digital, Privacidade
e Proteção de Dados, mestra PGCDS-UFRPE, fundadora do escritório
Canto de Lima Advocacia, escritora e coordenadora de diversas obras ju-
rídicas, professora de pós-graduações no Brasil e de cursos de extensão
sobre o tema. Presidente da Comissão de Proteção de Dados da OAB/PE.
Membro fundador da Academia Brasileira de Ciências Criminais, onde
preside a Comissão de Crimes Cibernéticos. Fundadora do Império Jurí-
dico e da Internet Blindada. Co-fundadora do LGPD Learning Edutech,
da plataforma “Cadê meu Dado?” LinkedIn: Ana Paula Canto de Lima
- Instagram: @anacantodelima - E-mail: anapaula@cantodelima.com.br
30
Os cookies, esses pequenos arquivos de texto, têm muitas

funções, dentre elas a de criar um perfil do cidadão na internet,
conforme pontua o recital 30 do General Data Protection Re-
gulation (GDPR)3, onde se destaca que, os cookies podem ser
utilizados para criar perfis das pessoas naturais e identificá-las.
Nesse sentido, na União Europeia, os cookies, e outras
tecnologias capazes de identificar o usuário online, precisam
estar de acordo com as orientações do Regulamento Europeu
e com o ePrivacy Directive4.
Compreender que é possível ser identificado online de-
monstra que a privacidade no ambiente digital pode ser bas-
tante relativizada, contudo ainda se fala pouco sobre isso no
Brasil, mesmo com a entrada em vigor da Lei Geral de Prote-
ção de Dados Pessoais.
A Lei Geral de Proteção de Dados Pessoais (LGPD)
foi sancionada em 18 de setembro de 2020, enfim o Brasil
passou a constar no rol de países que possuem legislação so-
bre privacidade e proteção de dados pessoais, mudando seu
status para o mundo, inclusive colaborando para o objetivo
do país de entrar para a Organização para a Cooperação e
Desenvolvimento Econômico (OCDE), o que ocorreu com
ressalvas em junho 2022.5
3
Recital 30. Disponível em: https://gdpr.eu/recital-30-online-identifiers-
-for-profiling-and-identification/> Acesso em: 3 jul. 2022.
4
OCDE. Organização para a Cooperação e Desenvolvimento Econômico.
Disponível em: <https://agenciabrasil.ebc.com.br/economia/noticia/2022-06/
ocde-aprova-plano-de-adesao-do-brasil-e-de-outros-paises-ao-grupo>
31
Embora a LGPD seja de extrema relevância para o

contexto da sociedade contemporânea, hiperconectada, há al-
guns ajustes e interpretações relevantes que estão sendo pro-
videnciados pela Autoridade Nacional de Proteção de Dados
(ANPD). E a Autoridade já deu sinais de como pretende tratar
os cookies, conforme veremos adiante.
II. COOKIES E A LEI GERAL DE PROTEÇÃO DE

DADOS PESSOAIS
No tocante à LGPD, em relação aos cookies, embora a

legislação não aborde de maneira específica, há como retirar
da LGPD informações capazes de incluir os cookies no esco-
po da legislação, como o próprio conceito de dados pessoais
e os princípios.
Considerando que a legislação se inspirou no GDPR, cabe
aprender com a experiência e a maturidade de quem tem muito a
ensinar, especialmente porque há uma lei de Cookies (ePrivacy).
Nos bastidores, havia debates de profissionais sobre a
obrigatoriedade ou não de utilizar banners e/ou avisos de
cookies nos sites, em virtude dessa ausência da legislação si-
milar à lei dos cookies.
Na União Europeia, tanto o GDPR, a Diretiva ePrivacy,
quanto as guidelines da EDPB, e de outras Autoridades, de-
monstraram que o tema já estava mais que regulamentado, o
que trazia uma maior segurança para aplicar as orientações da
União Europeia no Brasil, enquanto a Autoridade Nacional
de Proteção de Dados não se manifestava.
32
Voltando a LGPD, fica claro que os cookies estão sob

o guarda chuva da legislação, visto que são capazes de arma-
zenar informações e dados pessoais dos cidadãos, titulares de
dados pessoais. Dessa maneira, para que o tratamento seja
possível, é necessário adequar a base legal, e a utilizada na
UE é o consentimento.
De acordo com o art. 5º, inciso XII, da LGPD, con-
sentimento é a “manifestação livre, informada e inequívoca
pela qual o titular concorda com o tratamento de seus dados
pessoais para uma finalidade determinada”.
A celeuma acerca dos cookies no Brasil continuou por
causa do banner de cookies que estava exposto no site da
ANPD, claramente destoando das recomendações da União
Europeia, mas considerando que o endereço eletrônico da Au-
toridade estava inserido no site do Governo Federal, claramen-
te disponibilizado sem interferência ou influência da ANPD,,
tanto que, visando sanar os questionamentos, a Autoridade
emitiu um ofício recomendando ajustes ao Portal Gov.br.
III. BREVES APONTAMENTOS SOBRE COOKIES
O termo “cookie” vem de “cookies mágicos”, inven-

tado pelo programador de navegador da Web Lou Montulli.
trata-se de pacotes de informações que são enviados e recebi-
dos sem alterações.6
Atualmente, os cookies são muito utilizados para ras-
trear preferências dos usuários, com finalidade de publici-
dade personalizada. Segundo um relatório da União Europeia
sobre proteção de dados que analisou 500 sites, 70% dos

33
cookies são de terceiros e rastreiam nossa atividade para nos

oferecer publicidade personalizada.7
O General Data Protection Regulation (GDPR) traz uma
série de hipóteses legais que autorizam o tratamento dos dados
pessoais, mas quando se trata de cookies, o consentimento con-
tinua sendo a única alternativa que autoriza o seu uso, com ex-
ceção dos casos previstos no art. 5 (3) da e Privacy Directive8.
Para ser válido, o consentimento deve ser
dado livremente, específico e informado. Ele
deve envolver alguma forma de ação posi-
tiva inequívoca – por exemplo, marcar uma
caixa ou clicar em um link – e a pessoa deve
entender completamente que está lhe dando
consentimento. Você não pode mostrar con-
sentimento se fornecer apenas informações
sobre cookies como parte de uma política
de privacidade difícil de encontrar, difícil de
entender ou raramente ler. Da mesma forma,
você não pode definir cookies não essenciais
na página inicial do seu site antes que o usuá-
rio tenha consentido com eles. 9‎
Essas exigências legislativas, que clamam para que seja

utilizado o consentimento do usuário, trouxeram uma mudan-
ça na estrutura das páginas eletrônicas, que começaram a exi-
bir banners específicos sobre os cookies.
5
BBC. O que acontece quando você aceita os cookies de um site e por
que é bom apagá-los de tempos em tempos. Disponível em: <https://
www.bbc.com/portuguese/geral-40730996>Acesso em: 20 jul. 2022.
6
PALHARES, Felipe(coord.). Temas atuais de proteção de dados. São
Paulo: Thomson Reuters Brasil, 2020, p. 37.
7
ICO. What counts as consent?‎ Disponível em: <https://ico.org.uk/for-or-
ganisations/guide-to-pecr/cookies-and-similar-technologies/#complian-
ce> Acesso em: 17 jun. 2022.
34
O objetivo do banner de cookies é trazer informação

e transparência para o titular, possibilitando que ele tenha
controle dos seus dados pessoais e decida se deseja consentir
com a utilização de determinados cookies no site, ou se decli-
na e opta pelos estritamente necessários.
A fim de elucidar, melhor sobre essa questão, vale lem-
brar que, de acordo com a Information Comissioner’s Officer
(ICO), a definição de cookies é a seguinte:
Um cookie é um pequeno arquivo de texto que
é baixado em um ‘equipamento terminal’ (por
exemplo, um computador ou smartphone),
quando o usuário acessa um site. Ele permite
que o site reconheça o dispositivo desse usuá-
rio e armazene algumas informações sobre as
preferências do usuário ou ações anteriores10.
De acordo com esse entendimento, os cookies são con-

siderados dados pessoais, porque identificam ou podem levar
a identificação de uma pessoa natural, logo, é entendido como
um dado pessoal tanto na Lei Geral de Proteção de Dados
Brasileira (LGPD), quanto no GDPR, sendo a legislação eu-
ropeia específica quanto a esse tipo de tratamento de dados:
(30) As pessoas singulares podem estar asso-
ciadas a identificadores online fornecidos pe-
los seus dispositivos, aplicações, ferramentas
e protocolos, como endereços de protocolo
de Internet, identificadores de cookies ou ou-
tros identificadores, como etiquetas de iden-
tificação por radiofrequência.
8
INFORMATION COMISSIONER’S OFFICER. Cookies and similar
Technologies. ICO, 2018. Disponível em: <https://ico.org.uk/for-organi-
sations/guide-to-pecr/cookies-and-similar-technologies/>. Acesso em: 3
jul. 2022.
35
Isso pode deixar vestígios que, em particu-

lar quando combinados com identificadores
únicos e outras informações recebidas pelos
servidores, podem ser usados para criar per-
fis das pessoas físicas e identificá-las11.
Desse modo, os cookies podem armazenar diversas infor-

mações sobre hábitos do uso de internet do usuário, como por
exemplo, as últimas pesquisas, produtos que foram comprados,
onde ele clicou, a região em que está localizado, entre outras situa-
ções que permitem individualizar o usuário e portanto, os contro-
ladores dessas informações devem atender os requisitos previstos
nas leis que versam sobre privacidade e tratamento de dados.
Antes do GDPR, a e-Privacy Directive ou Lei dos Cookies,
foi criada para nortear as regras para essa atividade. Essa diretiva
deve ser revogada em breve pelo Regulamento de Privacidade
Eletrônica12, que funcionará juntamente com o GDPR para regu-
lamentar os requisitos para o uso de cookies, comunicações e a
proteção de dados, mas ainda não foi aprovada.
A classificação dos cookies pode ser feita da seguinte forma:
1) Cookies estritamente necessários: Esses cookies
são cookies essenciais para o bom funcionamento do site, ou
seja, não tem como o usuário dizer que não aceita e continuar
navegando. Esse tipo de Cookie é necessário para a funcio-
nalidade do site;
9
INTERSOFT CONSULTING. Recital 30 Online Identifiers for Profi-
ling and Identification*. Intersoft Consulting, [2022]. Disponível em:
<https://gdpr-info.eu/recitals/no-30/>. Acesso em: 3 jul. 2022.
10
IUBENDA. Cookie Solution da iubenda – introdução e primeiros
passos. Iubenda, 2022. Disponível em: https://www.iubenda.com/pt-br/
help/45156-cookie-solution-do-iubenda-introducao-e-primeiros-passos.
Acesso em: 3 jul. 2022.
36
2) Cookies de Sessão: a informação vai ser gravada so-

mente no momento que o usuário estiver no site, é um cookie
temporário. Enquanto o usuário está navegando, esse cookie
está guardando a informação (onde o usuário está clicando, em
qual aba, qual a informação que foi inserida em um determi-
nado formulário, caso o usuário saia do site, e posteriormente
retorne, as informações ainda estarão armazenadas;
3) Cookies de preferência: esses cookies vão guardar
a preferência, por exemplo, o idioma e a região do usuário;
4) Cookies de estatística: esses têm que levar em con-
sideração informações anonimizadas, nesse caso não entra
questões relacionadas a dados pessoais;
5) Cookies de Marketing: esses são os cookies que
perseguem, podem perseguir o usuário por meses.13
6) Cookies de terceiros: são gerados por sites diferen-
tes das páginas da Web em que os usuários estão navegando
no momento, geralmente porque estão vinculados a anúncios
contidos nessas páginas. Os cookies de terceiros permitem
que os anunciantes ou as empresas de análise acompanhem o
histórico de navegação de um indivíduo em toda a Web, nos
sites que contêm seus anúncios.14
É possível identificar outros tipos de cookies, embo-
ra esses sejam os mais utilizados. Há variedades de cookies
usados por navegadores modernos para rastrear a atividade
online e melhorar a experiência online do usuário.
11
IAPP Global Headquarters. Cookie Notice. Iapp, 2021. Disponível em:
<https://iapp.org/about/cookie-notice/>. Acesso em: 3 jul. 2022.
12
KASPERSKY. O que são cookies? Disponível em: <https://www.kasper-
sky.com.br/resource-center/definitions/cookies> Acesso em: 3 jul. 2022.
37
Os cookies normais não comprometem a se-

gurança do usuário. No entanto, cookies mali-
ciosos têm atributos de cookies que podem ser
usados para
rastrear atividades online, arma-
zenar preferências e criar perfis com base em
seus interesses. Uma vez que o perfil do usuá-
rio contém informações suficientes de cookies
de rastreamento, ele pode ser vendido para
diferentes empresas sem o seu consentimento,
o que é uma das principais desvantagens dos
cookies que afetam a privacidade online. Mui-
tos novos programas antivírus ajudam a identi-
ficar cookies de adware suspeitos e maliciosos
ao verificar seus sistemas em busca de vírus e
oferecem a oportunidade de excluí-los.15
As regras sobre cookies na Europa trazem a obrigatoriedade

da obtenção do consentimento do usuário para se armazenar esse
“pequeno arquivo de texto” em seu dispositivo. A necessidade da
coleta do consentimento acontece somente na primeira vez que a
pessoa visitar o site, mas se os tipos de cookies mudarem ao longo
do tempo, será necessário obter um novo consentimento.
Entretanto, não basta coletar o consentimento, é preciso
poder demonstrar que houve a autorização, para tanto é inte-
ressante que haja uma
Juntamente com uma Política de Privacidade, a Direti-
va de Cookies da UE também exige uma Política de Cookies.
Esta política deve ser uma descrição detalhada que notifique os
usuários sobre quais cookies são usados, como eles são usados,
que tipo de dados pessoais eles coletam e com quem eles po-
dem compartilhar esses dados. Indispensável que haja descri-
ção dos cookies, mas a linguagem deve ser simples e acessível.
13
COOKIES. Disponível em: <https://digitalshiftmedia.com/marketing-
-term/cookie/> Acesso em: 17 jun. 22.
38
O EDPB (European Data Protection Board) na

Guidelines 8/2020 aborda sobre o direcionamento de
publicidade para os usuários da mídia social, destaca
que o processamento dos dados pessoais para anúncios
direcionados na página de mídia social que utiliza os
dados fornecidos diretamente ao provedor de mídia so-
cial (como idade, sexo e localização), bem como a ativi-
dade em outros sites fora da rede social usando cookies.
Tais dados serão coletados por meio de plugins de mí-
dia social ou pixels de rastreamento, até que o usuário
consinta, nenhum cookie de publicidade é colocado ou
coletado.
A Autoridade de proteção de dados do Reino Unido
(ICO)16 afirma que para o consentimento ser considerado váli-
do, tem que ser específico, informado e fornecido livremente. O
consentimento será considerado inválido se for coletado através
de uma política de privacidade extensa, sem clareza, daquelas
que raramente são lidas pela forma como estão expostas.
Nesse sentido, esse formato de documento direciona-
do ao titular/consumidor/usuário pode até ser compreendido
como abusivo em algumas circunstâncias, pois o objetivo pode
ser exatamente o de influenciar a ação do usuário para que sim-
plesmente aceite as condições e os termos por não conseguir
compreendê-los ou por serem longos e exaustivos. A ideia é
que esses documentos sejam claros, simples e acessíveis.
Para dar validade a esse consentimento, a saída
encontrada, foi a exibição de banners específicos sobre
cookies, mas ainda faltava uma demarcação sobre a neces-
sidade de se solicitar um modelo de opt-in, quando o con-
sentimento era coletado de forma explícita, ou um modelo
14
IUBENDA, op cit.
39
de opt-out, partindo do pressuposto de que o usuário teria

consentido ao continuar navegando no website, para que
posteriormente pudesse revogar o tratamento17.
Segundo Felipe Palhares, a entrada em vigor do GDPR
fortaleceu sobre o parâmetro do consentimento:
Com efeito, o novo art. 5 (3) passou a exigir
o consentimento do usuário para armazenar
cookies, sem muito definir qual o parâmetro de
consentimento que era esperado, o que só foi
fortalecido com a entrada em vigor do GDPR
e com seus critérios exigentes de consenti-
mento. Ainda o dispositivo legal trouxe uma
previsão de desnecessidade do consentimento
quando os cookies forem estritamente neces-
sários para a provisão de serviços solicitados
pelo usuário, ou quando o armazenamento ou
acesso for necessário para a transmissão de
uma comunicação pela rede eletrônica18.
Portanto, de acordo com a legislação europeia, há a

necessidade de informar aos usuários quais são os cookies
que estão sendo utilizados em um determinado site, isto é,
explicar à pessoa, se são usados os cookies de marketing,
preferência, sessão, ou se são utilizados somente os necessá-
rios, nesse último caso, há a exceção para que seja coletado o
consentimento como já relatado. Em todos os demais casos,
o consentimento terá que ser dado de forma clara e ativa, sem
que o titular de dados tenha dúvidas quanto à coleta19.
15
PALHARES, op cit., p. 34.
16
Idem, p. 35.
17
ICO - Information Commissioner’s Office. Cookie and similar Techno-
logies. ICO, 2022. Disponível em: <https://ico.org.uk/for-organisations/
guide-to-pecr/cookies-and-similar-technologies/>. Acesso em: 3 jul. 2022.
40
IV. COOKIES DE ACORDO COM A ORIENTAÇÃO

DA AUTORIDADE NACIONAL DE PROTEÇÃO DE
DADOS (ANPD) PARA O PORTAL GOV.BR
A recomendação da Autoridade Nacional de Proteção de Da-

dos (ANPD) para a adequação do Portal Gov.br às disposi-
ções da Lei Geral de Proteção de Dados Pessoais (LGPD),
intitulada “ANPD emite recomendações para adequação da
prática de coleta de cookies do Portal Gov.br”, foi emitida
diante da necessidade de informar sobre os cookies do portal
Gov.br, e, orientando sobre cada categoria de cookies utilizada.
A recomendação da ANPD foi dada para que houvesse
a indicação da categoria dos cookies (finalidades), para que
fosse informada quais as bases legais utilizadas, as boas práti-
cas adotadas, e que quando a base legal fosse o consentimen-
to, este teria que ser feito de forma granular e com um botão
de fácil visualização que permitisse rejeitar os cookies que
não fossem necessários.
Na época que a ANPD emitiu o comunicado, o por-
tal Gov.br ainda não contava com essas funcionalidades. A
ANPD dispôs sobre situações que de fato não estavam claras.
Exigiu mais informações, para trazer a transparência imposta
pela LGPD e que permitisse informações e o opt-out.
No portal, não havia a indicação sobre quais cookies es-
tavam sendo utilizados e só tinha a opção de clicar no “acei-
to”, por isso, a ANPD, considerou alguns pontos de atenção20:
18
Recomendação da Autoridade de Proteção de Dados (ANPD) para a
adequação do Portal GOV.BR às disposições da LGPD. Podem ser visu-
alizadas pelo portal da ANPD, disponível pelo link: <https://www.gov.br/
anpd/pt-br. Ofício nº 6/2022/CGTP/ANPD/PR> Acesso em: 13 mai. 22.
41
Diante disso, a ANPD recomenda que para a

adequação do portal “Gov.br” à LGPD sejam
observadas as boas práticas indicadas, e que
se adotem, pelo menos, as seguintes medidas:
a) No banner de primeiro nível:
i. Disponibilizar botão de fácil visualização, que

permita rejeitar todos os cookies não-necessários;
ii. Desativar cookies baseados no consenti-

mento por padrão (opt-in);
b) No banner de segundo nível (Política de

Cookies):
i. Identificar as bases legais utilizadas, de

acordo com cada finalidade / categoria de
cookie, utilizando o consentimento como
principal base legal, exceção feita aos
cookies estritamente necessários, que podem
se basear no legítimo interesse;
ii. Classificar os cookies em categorias no

banner de segundo nível;
iii. Permitir a obtenção do consentimento espe-

cífico de acordo com as categorias identificadas;
iv. Disponibilizar botão de fácil visualização,

que permita rejeitar todos os cookies não ne-
cessários. (grifo nosso).
A ANPD entendeu que no primeiro nível as informa-

ções eram limitadas e que só tinha a opção “aceito”. Nesse
sentido não há que se falar em consentimento livre porque
não havia outra opção, apenas aceitar.
Conforme os arts. 8º, §3º e §4º, da Lei Geral de Pro-
teção de Dados, é considerado nulo o consentimento dado
com autorizações genéricas, desta maneira, o consentimento
42
deve ter finalidades determinadas, afinal, a LGPD veda o tra-

tamento com vício de consentimento, que por sua vez deve
ser livre, informado e inequívoco.
Com isso, a ANPD, sugeriu o consentimento de for-
ma granular e que somente o botão dos cookies necessários
ficasse ativado, por esse motivo, o titular de dados teria que
ativamente fazer o opt-in para os demais cookies.
As recomendações feitas pela ANPD, geraram algumas
críticas no sentido de que, não deveria ser só o consentimento
a base legal de cookies de preferência. A desaprovação de al-
guns estudiosos, foi que, com essa orientação, poderia gerar
o entendimento de que o consentimento tem um valor maior
em relação às demais bases legais e o fundamento do livre
desenvolvimento econômico, tecnológico e inovação não es-
taria sendo observado no sentido que restringiria a atividade
comercial de algumas empresas, como, por exemplo, o le-
gítimo interesse, que, se, devidamente ponderado, também
poderia ser utilizado para esses tipos de cookies.
Contudo, se olharmos para o posicionamento da União
Europeia em relação aos cookies, o consentimento é a base
legal para que os cookies sejam aceitos.
Outra situação que trouxe críticas, é que, como o por-
tal Gov.br pertence ao Poder Público, este não poderia tratar
dados pessoais com base no consentimento, porque, suposta-
mente, não haveria liberdade quanto a essa ação.
Contra esse entendimento, o Guia Orientativo sobre o
Tratamento de Dados elaborado pela ANPD, diz o seguinte:
[...] o consentimento poderá eventualmente
ser admitido como base legal para o trata-
mento de dados pessoais pelo Poder Público.
43
Para tanto, a utilização dos dados não deve

ser compulsória e a atuação estatal não deve,
em regra, basear-se no exercício de prerroga-
tivas estatais típicas, que decorrem do cum-
primento de obrigações e atribuições legais21.
Nesse sentido, o professor Matheus Passos, afirma que

se o consentimento for a base legal usada para a coleta de
cookies “opcionais e não obrigatórios”, não haveria proble-
ma em pedir o consentimento do titular em um site doPoder
Público22. Que inclusive, tem essa prática reforçada no mes-
mo Guia Orientativo, no seu parágrafo 20:
[...] a utilização da base legal do consentimen-

to no âmbito do tratamento de dados pessoais
pelo Poder Público pressupõe assegurar ao
titular a efetiva possibilidade de autorizar ou
não o tratamento de seus dados, sem que de
sua manifestação de vontade resultem restri-
ções significativas à sua condição jurídica ou
ao exercício de direitos fundamentais23.
Diante de todo o exposto, fica evidenciada a influência

europeia perante a orientação da ANPD, que institui o consenti-
mento para a coleta e uso de cookies. Mas é de extrema impor-
tância salientar que a LGPD, não há diferença quanto ao grau
de hierarquia sobre as bases legais (com a exceção de quando o
tratamento for feito sobre dados sensíveis), e que o posiciona-
mento feito pela ANPD, é somente em relação ao portal Gov.br.
19
Guia Orientativo sobre o Tratamento de Dados Pessoais pelo Poder Pú-
blico. Podem ser visualizadas pelo portal da ANPD, disponível pelo link:
https://www.gov.br/anpd/pt-br.
20
PASSOS, Matheus. A ANPD e os Cookies. DPO na Prática: um espaço cola-
borativo para encarregados de proteção de dados, 2022. Disponível em: https://
dponapratica.com.br/2022/05/a-anpd-e-os-cookies/. Acesso em: 3 jul. 2022.
21
Idem.
44
Isto não significa que outros agentes de tratamento, por

exemplo, as empresas privadas, devam nortear-se pelo mes-
mo posicionamento. Cada caso concreto deverá ser analisa-
do, até que a recomendação oficial da ANPD sobre o uso de
cookies seja publicada.
V. CONSIDERAÇÕES FINAIS
A ubiquidade dos cookies no ambiente digital, faz com

que a sua regulamentação seja uma tarefa espinhosa, que exi-
girá muita transparência por parte das organizações.
E um dos grandes problemas enfrentados, é que gran-
de parte dos agentes de tratamento, ainda não compreendem
que cookies, em sua grande maioria, podem ser considerados
dados pessoais24.
Os cookies, antes de tudo, devem ser devidamente cate-
gorizados, para que os usuários entendam e assim consigam
fazer a gestão dessa funcionalidade. A clareza quanto ao uso
das informações é proporcional à legalidade da conduta do
agente de tratamento, que será fundamental para estabelecer
o elo de confiança com o indivíduo.
Noutro giro, a ANPD poderia disponibilizar um orien-
tação voltada aos profissionais onde poderia discorrer sobre
os cookies, encerrando a celeuma relacionada aos cookies.
22
PALHARES, op cit.,54.
45
AS “DARK PATTERNS” SOB AS PERSPECTIVAS DA

PROTEÇÃO DE DADOS PESSOAIS E DA DEFESA
DO CONSUMIDOR
Ana Paula M. Canto de Lima1

Giovanna Sesti Lahude2
I. INTRODUÇÃO
Comumente, em troca de algum benefício, a prin-

cípio, “vantajoso”3 oferecido por uma plataforma digital. o
cidadão “entrega” mais dados pessoais do que, de fato, são
necessários para que se forneça alguma funcionalidade de um
produto ou serviço, principalmente diante da comodidade e da
1
Advogada, palestrante, especializada em Direito Digital, Privacidade
e Proteção de Dados, mestra PGCDS-UFRPE, fundadora do escritório
Canto de Lima Advocacia, escritora e coordenadora de diversas obras ju-
rídicas, professora de pós-graduações no Brasil e de cursos de extensão
sobre o tema. Presidente da Comissão de Proteção de Dados da OAB/PE.
Membro fundador da Academia Brasileira de Ciências Criminais, onde
preside a Comissão de Crimes Cibernéticos. Recebeu o título de Profes-
sora Honorária da ESA/PE. Fundadora do Império Jurídico e da Inter-
net Blindada. Cofundadora do LGPD Learning Edutech, da plataforma
“Cadê meu Dado?” LinkedIn: Ana Paula Canto de Lima - Instagram: @
anacantodelima - E-mail: anapaula@cantodelima.com.br
2
Analista de Privacidade Junior na CIELO S.A. Membra voluntária da
NOYB – European Centre for Digital Rights, na condição de Country
Reporter de Portugal para o GDPRHub e para a newsletter GDPRToday.
3
Como a possibilidade de saber da vida de vários amigos de infância ao se
conectar com eles nas redes sociais ou obter desconto de 50% em um produto
ao completar cadastro para compra em app próprio de um marketplace ao in-
vés de pagar o preço cheio se comprar por meio do navegador, por exemplo.
46
noção compartilhada de que grandes players como FAGA (Fa-

cebook, Amazon, Google e Apple)4 “sabem tudo sobre nós”.
Este é só um exemplo que revela uma cenário preocu-
pante, em que a maioria dos titulares de dados pessoais brasi-
leiros, nos termos do art. 5º, inciso V, da Lei 13.709/2018 (Lei
Geral de Proteção de Dados – LGPD), entende que é cômodo
“abrir mão” das informações que lhes dizem respeito para ga-
nhar algo “aparentemente” bom5, pois se trata de uma via de
mão dupla: enquanto cedem o uso de vários dados seus para
vários players de mercado, perdem o controle sobre eles ab-
dicando de sua autodeterminação informativa6 - afinal, pouco
se lê políticas ou avisos de privacidade7, nas quais costuma ser
informado que os dados fornecidos podem ser compartilhados
entre agentes de tratamento para prestação de alguns serviços,
como autenticação e validação de identidades em cadastros di-
gitais, seguradoras, transportadoras, por exemplo8.
4
ANDREOLE, Steve. Big Trouble For Facebook, Amazon, Goo-
gle And Apple In 2018. Enterprise Tech. Forbes. 3 jan. 2018. Dispo-
nível em: https://www.forbes.com/sites/steveandriole/2018/01/03/
big-trouble-for-facebook-amazon-google-apple-in-2018/?sh=-
2e2a8e194d87. Acesso em: 18 jul. 2022.
5
RODRIGUES, Renato. Maioria dos brasileiros se sente confortável em
trocar dados por benefícios. Blog. Kaspersky. 17 set. 2020. Disponível
em: https://www.kaspersky.com.br/blog/dilema-redes-netflix-pesquisa-
-privacidade/16039/. Acesso em: 18 jul. 2022.
6
Art. 2º, inciso II, LGPD. BRASIL. Lei nº 13.709, de 14 de agosto de
2018. LGPD. Disponível em: http://www.planalto.gov.br/ccivil_03/_
ato2015-2018/2018/lei/l13709.htm. Acesso em: 15 mai. 2022.
7
FOWLER, Geoffrey A. I tried to read all my app privacy policies. It
was 1 million words. 31 mai. 2022. The Washington Post. Disponível em:
https://www.washingtonpost.com/technology/2022/05/31/abolish-priva-
cy-policies. Acesso em: 18 jul. 2022.
8
Geralmente, as políticas de privacidade externas, também chamados de
avisos de privacidade, se consubstanciam em longos textos corridos, com
linguagem jurídica de difícil compreensão para leigos – sem se valer de
47
Considerando esse contexto, o presente artigo se concen-

trará em explicar, de forma breve, porém não rasa, o conceito e
os tipos de “dark patterns”, termo utilizado pelo European Data
Protection Board em suas diretrizes específicas9 sob o âmbito do
RGPD10, no qual a nossa lei pátria se inspirou conceitualmente11,
cuja tradução contextual do termo à língua portuguesa pode ser
“práticas deceptivas” ou “padrões obscuros”.
Serão analisados tais elementos em âmbito nacional,
sob as perspectivas da Lei Geral de Proteção de Dados Pes-
soais (LGPD) e do Código de Defesa do Consumidor (CDC).12
Notadamente, ver-se-á que o objetivo de usar “dark pat-
tern” em design se consubstancia em influenciar o comportamen-
to humano, induzindo titulares/consumidores a fazerem escolhas
potencialmente prejudiciais à proteção dos seus dados pessoais.
Padrões de design persuasivos foram desenvolvidos
para proporcionar ao usuário de plataformas digitais uma
técnicas legítimas de design como disposição de informações em cama-

das, uso de ícones, cores e esquemas audiovisuais facilitadores.
9
EUROPEAN DATA PROTECTION BOARD. Guidelines 3/2022 on dark
patterns in social media platform interfaces: How to recognise and avoid
them. Adopted on 14 mar. 2022. Disponível em: https://edpb.europa.eu/
system/files/2022-03/edpb_03-2022_guidelines_on_dark_patterns_in_so-
cial_media_platform_interfaces_en.pdf. Acesso em: 10 jul. 2022.
10
UNIÃO EUROPEIA. Regulamento (UE) 2016/679 de 27 de abril de
2016. Disponível em: https://eur-lex.europa.eu/legal-content/PT/TXT/HT-
ML/?uri=CELEX:32016R0679#d1e40-1-1. Acesso em: 15 mai. 2022.
11
ALVES, Fabrício da Mota. Capítulo VIII. Da Fiscalização. In: MAL-
DONADO, Viviane Nóbrega; BLUM, Renato Opice (Coord). Lei Geral
de Proteção de Dados Comentada. 2.a ed. São Paulo: Thomson Reuters
Brasil, 2019. p. 397.
12
BRASIL. Lei nº 8.078, de 11 de setembro de 1990. Código de Defesa do
Consumidor. Disponível em: http://www.planalto.gov.br/ccivil_03/leis/
l8078compilado.htm. Acesso em: 18 jul. 2022.
48
melhor experiência (UX)13, com um uso das funcionalidades

de maneira intuitiva e fácil. O UX Design pode ser utiliza-
do em websites, landing pages, aplicativos, chatbots, e-mail
marketing, dentre outros. Contudo, em certas situações, a for-
ma como é elaborado pode gerar uma influência, moralmen-
te questionável, no titular de dados pessoais e violar regras,
além de não cumprir princípios legais e os deixar normativa-
mente desprotegidos.
Após o desenvolvimento de todas as noções supraci-
tadas, serão tecidas considerações finais.
II. CONCEITO
O praticante de UX, Harry Brignull14, em 2010, pro-

pôs abordagens de design eticamente duvidosas, definindo
“dark patterns” como:
uma interface de usuário que foi cuidado-
samente elaborada para induzir os usuários
a fazer coisas...eles não são erros, eles são
cuidadosamente elaborados com uma com-
preensão sólida da psicologia humana, e eles
não têm os interesses do usuário em mente.
(grifos nossos)
13
User Experience – experiência do usuário.
14
BRIGNULL, Harry; MIQUEL; ROSENBERG, Jeremy; OFFER James.
2015. Dark Patterns - User interfaces Designed to Trick People. Disponí-
vel em: <http://darkpatterns.org/> Acesso em: 15 jul. 2022.
49
A esse respeito, o European Data Protection Board,

autoridade da União Europeia supervisora da proteção de da-
dos pessoais sob o RGPD, compartilhou, em suas diretrizes,
o entendimento de que tais padrões obscuros de design são
empregados para impactar o comportamento humano e mani-
pular titulares no sentido de fazer escolhas que normalmente
não fariam, posto que danosas à proteção dos seus dados pes-
soais, e podem os afastar efetivamente de tomar uma decisão
informada e consciente sobre o real uso de seus dados15.
Sob a perspectiva do consumidor, tais padrões obscuros
de design podem ser manipulados para o fechamento de uma
compra, ou para levar a atenção do consumidor para determina-
do ponto da publicidade, fazendo com que se afaste de informa-
ções importantes para que assim, passem despercebidas,
Ressalva-se a diferença entre os design patterns comuns,
como “rolar a barra para baixo” na tela de uma determinada in-
terface, por exemplo, para atualizar a caixa de entrada de um app
de e-mails no celular, que é uma forma de normalizar certas boas
práticas entre designers, e aqueles legitimamente persuasivos que,
por si só contando com técnicas de design em benefício do usuá-
rio16, valem-se de nossos vieses cognitivos como atalhos para fa-
cilitar a sua experiência17 ou não sobrecarregá-lo com inúmeras
decisões informacionais, mas respeitando as suas escolhas.
15
Idem, 2022
16
São exemplos disso o uso de mecanismos de gamificação e de reconheci-
mento pelo usuário de aplicabilidade de um conjunto de opções pré-exis-
tentes, facilitando sua escolha sem solicitações adicionais que demandem,
por exemplo, preenchimento manual de dados em formulários de cadastro,
bastando marcá-las ou selecioná-las na interface planejada de forma a faci-
litar a experiência e incentivar o usuário a ter seu tempo otimizado.
17
ALMADA, Giovanna Michelato. [FIB12] “Dark patterns” e práticas
manipulativas na Internet. Canal NICBRvideos. YouTube. Audiovisual.
Minutos 1:04:58 – 1:18:14. Disponível em: https://www.youtube.com/
watch?v=gE84Hmgx9qY. Acesso em: 18 jul 2022.
50
Aqueles legitimamente persuasivos possibilitam o

uso intuitivo de um produto ou serviço sem infringir os prin-
cípios de proteção de dados pessoais e de consumo. Além dis-
so, há quem entenda que deve haver uma intenção maliciosa
na manipulação do usuário para ser classificada uma técnica
de design como obscura ou prática deceptiva, conforme pro-
põe a taxonomia de Jarovski18:
Para ser considerado um padrão obscuro, o

design deve ser manipulador e malicioso.
Um design que é manipulador, mas não ma-
licioso, pode ser dito ser moralmente pro-
blemático, como o designer está tentando
encorajar o usuário a tomar um curso dife-
rente de ação através da exploração de vieses
cognitivos. No entanto, apesar dos meios er-
rados, o objetivo final pode ser benéfico, de-
rivando de um fundo de design ético, como
acontece com alguns nudges. Por exemplo,
designs de interface que estimulam as pes-
soas a comer menos calorias ou proteger sua
privacidade não serão considerados padrões
obscuros, (...) um padrão obscuro consiste
em escolhas de design de interface de usuá-
rio que manipulam o processo de tomada de
decisão do titular de dados pessoais de forma
prejudicial à sua privacidade e benéfica para
o provedor de serviços19
18
JAROVSKI, Luiza. Dark Patterns in Personal Data Collection: Definition,
Taxonomy and Lawfulness. Mar. 2022. pp. 6-8. Disponível em: https://papers.
ssrn.com/sol3/papers.cfm?abstract_id=4048582. Acesso em: 18 jul. 2022.
19
Tradução livre da citação direta. O texto original assim dispõe: “To be
considered a dark pattern, the design must be manipulative and mali-
cious. A design that is manipulative but not malicious can be said to be
morally problematic,9 as the designer is trying to encourage the user
to take a different course of action through the exploitation of cognitive
51
Acrescente-se que é benéfica a transparência20 embu-

tida no design de interface através de UX21, sendo recomen-
dável realizar uma avaliação principiológica no escopo de
privacy by design prévio à comercialização, ou seja, durante
a concepção ou elaboração de projetos de produtos ou ser-
viços que impliquem no tratamento de dados pessoais, nos
moldes do inciso X do art. 5º da LGPD.
Nesse sentido, buscaremos esclarecer os critérios de
avaliação e quais são os padrões obscuros mais utilizados no
âmbito de análise da autoridade europeia supradita.
III. TIPOS DE DARK PATTERNS MAIS UTILIZADOS

EM PERSPECTIVA PROTETIVA DE DADOS PESSOAIS
Algumas vezes, nos deparamos com a obrigatorieda-

de de assinar newsletter em uma pop-up fixa para conseguir
acessar o conteúdo que nos interessa em um site, ou com uma
renovação automática de serviço ou produto sem que houvesse
biases. However, despite the wrongful means, the end goal might be bene-
ficial, deriving from a background of ethical design,10 as it happens with
some nudges. For example, interface designs that nudge people to eat less
calories or protect their privacy will not be considered dark patterns,11
even if they eventually cause the affected person to be worse off accord-
ing to his or her own preferences and wishes. Therefore, manipulation in
itself and without the malicious element will not be a criterion to identify
a dark pattern.”
20
Art. 6º, incisos III e VI, Lei nº 13.709/2018.
21
Para posterior aprofundamento, considerando o caráter introdutório e bre-
ve da presente obra, além de ser uma autora de referência na área, com o
intuito de solucionar tais práticas, recomendamos a leitura de JAROVSKY,
Luiza. Transparency by Design: Reducing Informational Vulnerabilities
Through UX Design. 25 mai. 2022. Disponível em: https://papers.ssrn.com/
sol3/papers.cfm?abstract_id=4119284. Acesso em: 18 jul. 2022.
52
qualquer aviso ou questionamento sobre o interesse do contra-

tante, e nas dificuldades encontradas em cancelar um serviço
ou em encontrar o opt-out de um e-mail marketing persistente
– saiba que nada disso é feito sem critério ou por acaso.
Essas técnicas de design visam alcançar um objetivo
escuso ao manipular um determinado comportamento a ser
adotado pelo usuário (normalmente sem se dar conta da indu-
ção). Nesse sentido, apresentamos algumas “dark patterns”
sob o viés de proteção de dados pessoais, extraídas do enten-
dimento do European Data Protection Board22
ALGUNS TIPOS
RESUMO DO QUE IMPLICAM PARA O TITULAR DE
DE DARK PAT-
DADOS PESSOAIS
TERNS
Sobrecarrega-se os usuários de mídias sociais/titulares com o
aparecimento na interface de design de inúmeras solicitações
ou informações, no intuito de fazê-los aceitar práticas de tra-
tamento de dados pessoais que talvez não fizessem sem fadiga
informacional.
Por exemplo, técnicas acima citadas, como “continuous promp-
ting” podem incorrer em violações ao princípio da finalidade
Overloading e ao consentimento livre, informado e específico, ou como
“privacy maze”, que dificulta o exercício de um determinado
direito ou a obtenção de uma determinada informação sobre
controle de privacidade, podendo ser necessário navegar por
várias páginas – como um labirinto – até conseguir fazer isso,
em violação aos princípios da transparência, sem atender ao
direito de acesso (fácil) e demais concernentes ao exercício de
direitos de titulares de dados pessoais.
Projeta-se a interface ou a experiência do usuário de tal forma
que os titulares esqueçam ou não pensem em todos ou em al-
guns aspectos de proteção de dados.
Por exemplo, a técnica de “look over there” tem a ver com a
distração do titular de dados pessoais, ao se acrescentar ele-
Skipping
mentos chamativos na interface que compitam com a ação ou
informação sobre proteção de dados pessoais, que o usuário es-
tava primariamente buscando. Pode-se violar os princípios da
finalidade e da transparência e, inclusive, o exercício de alguns
direitos.
53
Afeta-se a escolha que os usuários fazem apelando, por meio de

linguagem e elementos visuais, para suas emoções (excitação,
medo ou culpa) de forma a provavelmente levá-los inconscien-
Stirring temente a fazer uma ação contrária aos ou limitadora dos seus
direitos, violando os requisitos, por exemplo, de consentimen-
to livre e informado, assim como o consentimento dos pais de
crianças (quando usam interfaces de jogos).
Dificulta-se ou impede-se a realização de uma ação pelo usuário
por meio do design da funcionalidade, pois ao longo do proces-
so de obtenção de informações ou de controle de preferências
Hindering sobre o tratamento de dados pessoais, se deparam com inúme-
ras etapas desnecessárias, desencorajando-os de prosseguir, ou
com um link que não está funcionando ou redirecionamento a
uma página que não existe.
O design da interface é inconsistente ou desorganizado, por
exemplo, faltando hierarquia ou arquitetura das informações
disponibilizadas sobre dados pessoais, fazendo com que uma
mesma explicação apareça diversas vezes ou seja repetidamen-
Fickle
te expressada, em outras palavras, de forma genérica, o que
podem confundir os usuários leigos e deixá-los sem a devida
compreensão sobre como ocorre o tratamento de dados, os seus
direitos e a forma de exercício.
A interface foi projetada para deixar os usuários com incerte-
zas, ao fornecer informações conflitantes ou ao não fornecer no
mesmo idioma do país (português) onde o titular se localiza a
Left in the dark
política de privacidade (inglês), ou o ambiente onde se encon-
trariam as preferências de tratamento de dados pessoais, mas
ofertar o produto ou o serviço naquele idioma (português).
1 Fonte: resumo elaborado pelas próprias autoras da presente obra, extraindo-se
conceitos das Guidelines (diretrizes) do EDPB já referenciadas.
Assim, para avaliar se incorre em dark patterns as téc-

nicas de design embutidas em um produto ou serviço, ou a ser
aplicadas em um projeto de produto ou serviço, que implica(rá)
em atividade de tratamento de dados pessoais, o European Data
Protection Board entende ser necessário o emprego de critérios
como confrontamento com os princípios normativos, por exem-
plo, a finalidade (para quê exatamente serve esse design na ativi-
dade de tratamento? O que se espera atingir ou contribuir para o
alcance da finalidade da atividade de tratamento?), a transparência
(quais ou como serão apresentadas as informações ao usuário?),
54
a necessidade (o design é pertinente ou proporcional à finalidade

e ao contexto de tratamento?) e a responsabilidade (de que forma
serão atendidos os requisitos legais com esse design e de que ma-
neira explicaremos o uso dele ao titular e às autoridades?).
Além disso, a análise contextual das obrigações
do artigo 25 do RGPD é citada como prática recomenda-
da nas diretrizes do EDPB, fazendo-se ora um paralelo
similar – guardadas as diferenças – com o artigo 46, §2º
da LGPD, o qual obriga os agentes de tratamento a adotar
medidas de segurança, técnicas (design seguro) e admi-
nistrativas (conformidade com controles de governança
em privacidade, por exemplo), aptas a proteger os dados
de pessoas físicas desde a fase de concepção do produto
ou do serviço até a sua execução.
Agora, passar-se-á ao detalhamento das disposições
da legislação nacional cabível.
IV. LEGISLAÇÃO NACIONAL CABÍVEL
Inicialmente, referencia-se a Carta Magna23 de 1988,

onde o direito fundamental à defesa do consumidor foi res-
guardado, conforme disposto no art. 5º, XXXII, de onde se
destaca que o Estado promoverá, na forma da lei, a defesa
do consumidor. Ademais, a proteção de dados pessoais24 fi-
23
BRASIL. Constituição (1988). Constituição da República Federativa
do Brasil. Disponível em: http://www.planalto.gov.br/ccivil_03/constitui-
cao/constituicao.htm. Acesso: 18 jul. 2022.
24
Entendida como aquela que resguarda o dado referente à pessoa física
independentemente de se encontrar em esfera pública ou privada.
55
gura como direito e garantia fundamental do cidadão, assim

como a privacidade25.
Segundo Rizzatto Nunes26, o CDC é norma de ordem pú-
blica e de interesse social, geral e principiológica, o que significa
dizer que é prevalente sobre todas as demais normas especiais
anteriores que com ela colidirem. Por outro lado, a Lei Geral
de Proteção de Dados Pessoais, igualmente principiológica, visa
assegurar ao cidadão/titular a sua autodeterminação informativa,
no art. 2º, inciso II, como fundamento normativo ao possibilitar
o controle informado sobre o uso dos dados da pessoa natural.
Entre as disposições protetivas de ambos os diplomas
legais, encontram-se a informação27, a boa-fé28 e a transparên-
cia29 e, nesse sentido, o uso de dark patterns viola o direito à
informação do titular e consumidor, bem como a boa-fé nas re-
lações estabelecidas por agentes de tratamento e fornecedores,
sem dar o devido esclarecimento próprio das relações lícitas.
Ademais, lastreado no fundamento do art. 6º, inciso
IV, quanto ao uso de métodos comerciais desleais ou coer-
citivos, aos quais podem se enquadrar as dark patterns no
contexto de design de interface veiculadora de ofertas de pro-
dutos ou serviços, tem-se que o art. 37, §1º do CDC conside-
ra a publicidade enganosa30 como uma prática ilegal e esse
entendimento pode ser cabível às dark patterns no que toca à
veiculação deceptiva, ou indutora abusiva, no sentido de ma-
25
Compreendida como aquela em que há proteção da informação relacionada à
vida privada, que rivaliza com a esfera pública e pode coincidir com a intimidade.
26
RIZZATTO NUNES, Luiz Antônio. Comentários ao Código de Defesa
do Consumidor. 3. ed. São Paulo: Saraiva, 2007. p. 91.
27
Art. 2º, inciso III, Lei nº 13.709/2018; Art. 6º, inciso III, Lei nº 8.078/1990.
28
Art. 6º, caput, Lei nº 13.709/2018;Art. 51, inciso IV e art. 4º, inciso III, Lei nº 8.078/1990.
29
Art. 6º, inciso VI, Lei nº 13.709/2018; Art. 4º, caput, Lei nº 8.078/1990.
30
Art. 37, §3º, Lei nº 8.078/1990.
56
nipular incentivos comportamentais para a tomada de ações

(como incentivar a comprar impulsivamente ou a fornecer
dados para ganhar desconto sem esclarecer todas as condi-
ções previamente) prejudiciais ao consumidor.
No que se refere ao consentimento, que é algo que pode
ser usado de forma ilícita no contexto de dark patterns à luz da
LGPD, destaca-se o art. 8º, §3º e §4º que tratam sobre o consen-
timento, quanto ao tratamento de dados com vício31 de consenti-
mento por indução a erro ou manipulação e, ainda, considera-se
que autorizações genéricas serão tidas como nulas32. Destaca-se,
ainda, o Marco Civil da Internet33, caso aplicável ao consentimen-
to, aos que entendem que não houve sua revogação pela LGPD34,
dispondo sobre algo próximo disso no seu art. 7°, incisos VII e IX.
O tema está em relevante discussão em várias jurisdi-
ções internacionais há algum tempo. Por exemplo, em abril de
2019 nos EUA, o Senador Americano Fischer propôs o “Decep-
tive Experiences to Online Users Reduction Act” (Detour Act),
que visa proibir grandes plataformas de usar dark patterns para
coletar dados dos consumidores, em que se destaca que “dark
patterns são interfaces digitais projetadas para manipular os
usuários a abrir mão de seus dados pessoais”35 Segundo o se-
31
Art. 171, inciso II, Código Civil.
32
No âmbito protetivo consumerista, tem-se que cláusulas que infrinjam o
sistema normativo de proteção ao consumidor também serão consideras
nulas de pleno direito conforme o art. 51, inciso XV, Lei nº 8.078/1990.
33
BRASIL. Lei nº 12.965, de 23 de abril de 2014. Marco Civil da In-
ternet. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2011-
2014/2014/lei/l12965.htm. Acesso em: 18 jul. 2022.
34
DTI BR. Lei Geral de Proteção de dados v. Marco Civil da Inter-
net: Antinomias. 2 set. 2018. Disponível em: https://www.dtibr.com/
post/2018/09/10/lei-geral-de-prote%C3%A7%C3%A3o-de-dados-v-
-marco-civil-da-internet-antinomias. Acesso em: 18 jul. 2022.
57
nador Fischer36, membro da Comissão de Comércio do Senado:

Qualquer política de privacidade que envolva
consentimento é enfraquecida pela presença
de Dark Patterns. Essas interfaces de usuário
manipuladoras limitam intencionalmente a
compreensão e prejudicam a escolha do con-
sumidor. Avisos enganosos para clicar no bo-
tão ‘OK’ muitas vezes podem transferir seus
contatos, mensagens, atividades de navega-
ção, fotos ou informações de localização sem
que você perceba. Nossa legislação bipartidá-
ria busca coibir o uso dessas interfaces deso-
nestas e aumentar a confiança online.37
Além disso, reforça-se, que em março de 2022 o Eu-

ropean Data Protection Board se manifestou38 por meio de
diretrizes sobre a proteção de dados de pessoas físicas diante
de dark patterns empregadas em plataformas de mídias so-
ciais e, no contexto europeu, há o novo acordo sobre Digital
Services Act (DSA), que traz obrigações para os provedores de
35
“Dark patterns” are digital interfaces designed to trick users into giv-
ing up their personal data. Tradução livre.
36
SENATORS INTRODUCE BIPARTISAN LEGISLATION TO BAN MA-
NIPULATIVE DARK PATTERNS. Disponível em: <https://www.fischer.
senate.gov/public/index.cfm/2019/4/senators-introduce-bipartisan-legis-
lation-to-ban-manipulative-dark-patterns> Acesso em: 10.jun. 2022.
37
“Any privacy policy involving consent is weakened by the presence of
dark patterns. These manipulative user interfaces intentionally limit un-
derstanding and undermine consumer choice. Misleading prompts to just
click the ‘OK’ button can often transfer your contacts, messages, browsing
activity, photos, or location information without you even realizing it. Our
bipartisan legislation seeks to curb the use of these dishonest interfaces
and increase trust online,” said Sen. Fischer, a member of the Senate Com-
merce Committee. Idem.
38
Ibidem.
58
serviços digitais que agem como intermediários ao conectar

consumidores com bens, serviços e conteúdo, aplicando-se a
marketplaces e grandes plataformas online como Facebook,
Instagram. Dentre essas obrigações, há a vedação de empre-
go de padrões obscuros (dark patterns) em interfaces de pla-
taformas digitais às quais a DSA se aplica, sendo considera-
dos tais padrões como artifícios enganosos que manipulam os
usuários a tomar decisões que eles não pretendiam fazer ou
que materialmente distorcem ou prejudicam a habilidade dos
usuários de serviços de fazer escolhas livres e informadas39.

Em brevíssima sumarização, inicialmente, explicou-se a
diferença entre os padrões de design comuns, persuasivos e decep-
tivos ou obscuros (dark patterns), assim como foram introduzidos
os conceitos adotados para tais padrões por autores de referência e
uma autoridade europeia de proteção de dados pessoais (EDPB).
Em sequência, explicou-se os tipos de dark patterns de
design existentes conforme extraído das diretrizes, aplicáveis às
mídias sociais no que toca à proteção de dados pessoais, emiti-
das pela autoridade supradita. Foram trazidos alguns exemplos
para ilustrar as situações descritas e relacionados os critérios de
avaliação de design para aferição de dark patterns em detrimen-
to da proteção de dados pessoais normativamente disposta, con-
frontando-se com os princípios protetivos e possíveis violações,
recomendando-se a adoção de privacy by design.
39
EUROPEAN COMISSION. Questions and Answers: Digital Services Act.
20 mai. 2022. Bruxelas. Disponível em: https://ec.europa.eu/commission/
presscorner/detail/en/QANDA_20_2348. Acesso em: 18 jul. 2022.
59
Por fim, detalhou-se as disposições legais do CDC e da

LGPD aplicáveis à análise de violações normativas por uso de
dark patterns em design de produto ou serviço que implique
em tratamento de dados pessoais de pessoas físicas e foi enfa-
tizado o debate contínuo sobre o tema no âmbito legislativo em
projetos propostos nos Estados Unidos e na Europa.
VI. REFERÊNCIAS
ALMADA, Giovanna Michelato. [FIB12] “Dark patterns”

e práticas manipulativas na Internet. Canal NICBRvideos.
YouTube. Audiovisual. Minutos 1:04:58 – 1:18:14. Disponí-
vel em: https://www.youtube.com/watch?v=gE84Hmgx9qY.
ALVES, Fabrício da Mota. Capítulo VIII. Da Fiscalização.
In: MALDONADO, Viviane Nóbrega; BLUM, Renato Opice
(Coord). Lei Geral de Proteção de Dados Comentada. 2.a ed.
São Paulo: Thomson Reuters Brasil, 2019. p. 397.
ANDREOLE, Steve. Big Trouble for Facebook, Amazon, Goo-
gle and Apple In 2018. Enterprise Tech. Forbes. 3 jan. 2018.
Disponível em: https://www.forbes.com/sites/steveandri-
ole/2018/01/03/big-trouble-for-facebook-amazon-google-ap-
ple-in-2018/?sh=2e2a8e194d87. Acesso em: 18 jul. 2022.
BRASIL. Constituição (1988). Constituição da República Fe-

derativa do Brasil. Disponível em: http://www.planalto.gov.br/
ccivil_03/constituicao/constituicao.htm. Acesso: 18 jul. 2022.
BRASIL. Lei nº 8.078, de 11 de setembro de 1990. Código de
60
Defesa do Consumidor. Disponível em: http://www.planalto.gov.

br/ccivil_03/leis/l8078compilado.htm. Acesso em: 18 jul. 2022.
BRASIL. Lei nº 12.965, de 23 de abril de 2014. Marco Civil da
Internet. Disponível em: http://www.planalto.gov.br/ccivil_03/_
ato2011-2014/2014/lei/l12965.htm. Acesso em: 18 jul. 2022.
BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Dispo-
nível em: http://www.planalto.gov.br/ccivil_03/_ato2015-
2018/2018/lei/l13709.htm. Acesso em: 15 mai. 2022.
BRIGNULL, Harry; MIQUEL; ROSENBERG, Jeremy; OF-
FER James. 2015. Dark Patterns - User interfaces Designed
to Trick People. Disponível em: <http://darkpatterns.org/>
DTI BR. Lei Geral de Proteção de dados v. Marco Civil da In-
ternet: Antinomias. 2 set. 2018. Disponível em: https://www.
dtibr.com/post/2018/09/10/lei-geral-de-prote%C3%A7%-
C3%A3o-de-dados-v-marco-civil-da-internet-antinomias.
EUROPEAN COMISSION. Questions and Answers: Dig-
ital Services Act. 20 mai. 2022. Bruxelas. Disponível em:
https://ec.europa.eu/commission/presscorner/detail/en/QAN-
DA_20_2348. Acesso em: 18 jul. 2022.
EUROPEAN DATA PROTECTION BOARD. Guidelines
3/2022 on dark patterns in social media platform interfaces:
How to recognise and avoid them. Adopted on 14 mar. 2022.
Disponível em: https://edpb.europa.eu/system/files/2022-03/
edpb_03-2022_guidelines_on_dark_patterns_in_social_me-
dia_platform_interfaces_en.pdf. Acesso em: 10 jul. 2022.
FOWLER, Geoffrey A. I tried to read all my app privacy
policies. It was 1 million words. 31 mai. 2022. The Washing-
61
ton Post. Disponível em: https://www.washingtonpost.com/

technology/2022/05/31/abolish-privacy-policies. Acesso em:
18 jul. 2022.
JAROVSKI, Luiza. Dark Patterns in Personal Data Col-
lection: Definition, Taxonomy and Lawfulness. Mar. 2022.
Disponível em: https://papers.ssrn.com/sol3/papers.cfm?ab-
stract_id=4048582. Acesso em: 18 jul. 2022.
RIZZATTO NUNES, Luiz Antônio. Comentários ao Código de
Defesa do Consumidor. 3. ed. São Paulo: Saraiva, 2007. p. 91.
RODRIGUES, Renato. Maioria dos brasileiros se sente con-
fortável em trocar dados por benefícios. Blog. Kaspersky.
17 set. 2020. Disponível em: https://www.kaspersky.com.
br/blog/dilema-redes-netflix-pesquisa-privacidade/16039/.
Acesso em: 18 de jul. 2022.
SENATORS INTRODUCE BIPARTISAN LEGISLATION
TO BAN MANIPULATIVE DARK PATTERNS. Dispo-
nível em: <https://www.fischer.senate.gov/public/index.
cfm/2019/4/senators-introduce-bipartisan-legislation-to-ban-
-manipulative-dark-patterns> Acesso em: 10.jun. 2022.
UNIÃO EUROPEIA. Regulamento (UE) 2016/679 de
27 de abril de 2016. “RGPD”. Disponível em: https://eur-
-lex.europa.eu/legal-content/PT/TXT/HTML/?uri=CELE-
X:32016R0679#d1e40-1-1. Acesso em: 15 mai. 2022.
62
AUTODETERMINAÇÃO INFORMATIVA E OS
LIMITES DO CONSENTIMENTO NAS RELAÇÕES
DE CONSUMO
Carolina Chiavaloni Ferreira Buccini 1
I. INTRODUÇÃO
Muito embora o direito à intimidade, à privacidade e

o sigilo de dados pessoais não sejam temas novos em nosso or-
denamento jurídico, dada a velocidade acelerada das inovações
tecnológicas e a importância crescente dos dados como o “prin-
cipal ativo”, considerados inclusive como “novo petróleo” na
era da informação, tais temas ganharam nova roupagem e rele-
vância, de forma ampla e efetiva, através da entrada em vigor da
Lei Geral de Proteção de Dados - LGPD.
Por ser uma lei de aplicação geral, a LGPD deve ser
observada por toda e qualquer pessoa física ou jurídica, públi-
ca ou privada, que realize o tratamento de dados pessoais nos
moldes previstos em seu texto normativo, atingindo todos os
setores da sociedade, independentemente do tipo de relação
jurídica que venham a estabelecer, porte ou segmento.
1
Advogada e Consultora em Proteção de Dados, Sócia Fundadora do escritório
Chiavaloni e Silva Sociedade de Advogados, DPO - Data Protection Officer cer-
tificada pela Exin, Pós-graduada em Direito Civil e Processo Civil pela Escola
Paulista de Direito – EPD, Pós-graduada em Proteção de Dados pela Escola Bra-
sileira de Direito - EBRADI, Conciliadora e Mediadora certificada pela Escola
Paulista da Magistratura - EPM, Membro Efetivo da Comissão Especial de Priva-
cidade e Proteção de Dados OAB/SP, Membro da ANPPD®️ e ANADD.
e-mail: carolina@chiavaloniesilva.com.br
63
Neste contexto, os fundamentos da LGPD, estabe-

lecidos no artigo 2º da Lei, buscam, basicamente, um equi-
líbrio entre a manutenção do desenvolvimento econômico e
tecnológico de modelos de negócios inovadores, dos quais a
sociedade contemporânea se vale para garantir seu progresso
e eficiência, e a inviolabilidade de direitos constitucionais ga-
rantidos aos cidadãos.
Assim, ganham-se o protagonismo os titulares de
dados pessoais, sua vontade passa a ser legítima e tem força
para delimitar seus contornos, sob o manto da autodetermina-
ção informativa e do consentimento.
A relevância tanto da autodeterminação informati-
va, quanto do consentimento do usuário como instrumento
de legitimação ao tratamento dos dados pessoais, evidencia a
importância dada pelo legislador à vontade do titular ao trata-
mento dos dados pessoais.
Entretanto, os a serem enfrentados, referem-se a for-
ma de como materializar o exercício destes direitos, frente ao
fluxo desordenado de dados que existe no contexto atual da
sociedade moderna da informação.
II. AUTODETERMINAÇÃO INFORMATIVA
O conceito da autodeterminação informativa teve sua

origem na decisão do Tribunal Constitucional Federal da Ale-
manha, de 25 de dezembro de 1983, que julgou parcialmente
constitucional uma lei federal para a realização de censo de-
mográfico no país, devido à coleta excessiva de dados que
seria realizada e a repercussão pública negativa, entendendo
o Tribunal que mesmo diante dos propósitos estatísticos do
64
censo, era preciso salvaguardar os direitos fundamentais dos

cidadãos, assim, a corte alemã acabou por reconhecer a liber-
dade das pessoas para gerir seus próprios dados pessoais.
Prevista expressamente no inciso II do artigo 2º da
Lei Geral de Proteção de Dados (LGPD)2, a autodetermina-
ção informativa nada mais é do que a ideia de que o indivíduo
titular de dados pessoais deve ter controle ou ao menos plena
transparência e segurança, sobre a destinação dada às suas
informações pessoais, bem como das metodologias utilizadas
para o tratamento de seus dados.
Importante destacar que, a LGPD adotou a expressão “au-
todeterminação informativa”, mas também é possível o emprego da
variação “autodeterminação informacional” para a mesma finalidade.
De acordo com Vainzof (2019, p.27):
a autodeterminação informativa, que é o con-
trole pessoal sobre o trânsito de dados relativo
ao próprio titular – e, portanto, uma extensão
de liberdades do indivíduo – conjuga as duas já
mencionadas concepções de privacidade de da-
dos: a primeira de caráter negativo e estático; e
a moderna, em que a intervenção (proteção) é
dinâmica, durante todo o ciclo de vida dos dados
nos mais variados meio em que possa circular.
2
Art. 2º A disciplina da proteção de dados pessoais tem como fundamentos:
I - o respeito à privacidade;
II - a autodeterminação informativa;
III - a liberdade de expressão, de informação, de comunicação e de opinião;
IV - a inviolabilidade da intimidade, da honra e da imagem;
V - o desenvolvimento econômico e tecnológico e a inovação;
VI - a livre iniciativa, a livre concorrência e a defesa do consumidor; e
VII - os direitos humanos, o livre desenvolvimento da personalidade, a
dignidade e o exercício da cidadania pelas pessoas naturais.
65
Dessa forma, a autodeterminação informativa pode

ser considerada como o protagonismo do indivíduo na prote-
ção dos seus dados pessoais, em que as normas de proteção
de dados pessoais inferem a participação do titular sobre to-
dos os movimentos dos seus dados pessoais, desde a coleta
até o compartilhamento e sua exclusão. (BIONI, 2019)
Remeta-se, ainda, às palavras de Doneda (2006, p. 142):
Uma esfera privada, na qual a pessoa tenha
condições de desenvolvimento da própria
personalidade, livre de ingerências externas,
ganha hoje ainda mais em importância; pas-
sa a ser um pressuposto para que ela não seja
submetida a formas de controle social que, em
última análise, anulariam sua individualidade,
cerceariam sua autonomia privada (para tocar
em um conceito caro ao direito privado) e, em
última análise, inviabilizariam o livre desen-
volvimento de sua personalidade.
Nesta esteira, a privacidade abandona sua concep-

ção clássica3, passando a concentrar-se na possibilidade do
indivíduo de controlar o uso das informações pessoais que
concernem à sua pessoa, voltam-se as atenções para o contro-
le que este indivíduo exerce sobre a disponibilidade de suas
informações.
Sabe-se que, o direito à autodeterminação informa-
tiva não é absoluto, poderá em confronto com o interesse pú-
3
A ilustre civilista Maria Helena Diniz argumenta que a privacidade não
pode ser confundida com a intimidade. A autora considera que a privaci-
dade está ligada à uma perspectiva externa do ser humano, e a intimida-
de está relacionada à perspectiva interna do viver do indivíduo. (DINIZ,
Maria Helena. Curso de Direito Civil Brasileiro: Teoria Geral do Direito
Civil. 33ª ed. São Paulo: Saraiva, 2016, p. 151-152).
66
blico ou outros valores constitucionais, sofrer restrições pelo

legislador ou até mesmo ser mitigado quando existir uma base
legal que legitime determinado tratamento de dados, todavia,
mesmo nestas circunstâncias, deve ser garantido ao titular o
direito de informação sobre a limitação de finalidade do uso
desses dados e a segurança e adequação conferida a eles.
Referido ponto foi, inclusive, destacado pela de-
cisão proferida pela Suprema Corte alemã no citado julga-
mento ocorrido em 1983 e, também, ressaltado, recentemen-
te, pelo Supremo Tribunal Federal no julgamento do pedido
cautelar, proferido na Ação Direta de Inconstitucionalidade
(ADI 6.387).
Na ocasião, a Corte analisou a constitucionalidade
da Medida Provisória 954/2020 a qual previa o compartilha-
mento de dados de usuários de telecomunicações com o Ins-
tituto Brasileiro de Geografia e Estatística (IBGE) para a pro-
dução de estatística oficial durante a pandemia da Covid-19.
Com base nestas premissas, o STF proferiu decisão
histórica no curso da pandemia, ao reconhecer expressamente
que a Constituição Federal de 1988 assegura aos brasileiros
o direito à autodeterminação informativa, devendo o uso dos
dados e informações pessoais ser controlado pelo próprio in-
divíduo, salvo quando a legislação estritamente determinar.
A Medida Provisória impugnada determinava que
as empresas de telecomunicações compartilhassem os dados
como nome, telefone e endereço, de todos os seus usuários
de telefonia móvel (mais de 225 milhões de consumidores
na época) com o IBGE, para fins de pesquisas estatísticas,
tendo em vista a emergência de saúde pública decorrente do
coronavírus.
67
Concluiu-se que, ainda que estivéssemos diante de uma

da crise sanitária que assolou o Mundo, não se pode legitimar o
atropelo de garantias fundamentais consagradas na Constituição.
Apesar de se tratar de um conceito legal “suposta-
mente novo” em nosso ordenamento jurídico, a autodetermi-
nação informativa já era estudada e aplicada na doutrina e
na prática judiciária no Brasil e os direitos dela derivados já
existiam em leis anteriores à Lei Geral de Proteção de Dados.
No ano de 1995, o Ministro Ruy Rosado de Aguiar
em acórdão de sua relatoria, já demonstrava preocupação re-
levante com o controle dos dados pessoais armazenados em
bancos de registros de informações, trazendo em seu voto, o
seguinte conteúdo:
A inserção de dados pessoais do cidadão em
bancos de informações tem se constituído em
uma das preocupações do Estado moderno,
onde o uso da informática e a possibilidade
de controle unificado das diversas atividades
da pessoa nas múltiplas situações de vida, per-
mite o conhecimento de sua conduta pública
e privada, até nos mínimos detalhes, podendo
chegar à devassa de atos pessoais, invadindo
área que deveria ficar restrita à sua intimida-
de; ao mesmo tempo, o cidadão objeto dessa
indiscriminada colheita de informações, mui-
tas vezes, sequer sabe da existência de tal ati-
vidade, ou não dispõe de eficazes meios para
conhecer o seu resultado, retificá-lo ou cance-
lá-lo. E assim coo o conjunto dessas informa-
ções pode ser usado para fins lícitos, públicos
ou privados, na prevenção ou repressão de
delitos, ou habilitando o particular a celebrar
contratos com pleno conhecimento de causa,
também pode servir, ao Estado ou ao particu-
lar, para alcançar fins contrários à moral ou
68
ao Direito, como instrumento de perseguição

política ou opressão econômica. [...] Nos paí-
ses mais adiantados, algumas providências já
foram adotadas. Na Alemanha, por exemplo,
a questão está posta no nível das garantias
fundamentais, com o direito de autodetermi-
nação informacional (o cidadão tem o direito
de saber quem sabe o que sobre ele), além de
instituição de órgãos independentes, à seme-
lhança do ombudsman, com poderes para fis-
calizar o registro de dados informatizados, pe-
los órgãos públicos e privados na legislação.4
Ademais, recorda-se que o Código de Defesa do Con-

sumidor elenca, entre os direitos do consumidor, a informa-
ção adequada e clara sobre os serviços (artigo 6º, III). prevê a
comunicação de abertura de cadastro pelo controlador sem a
solicitação do titular (artigo 43, caput e § 2º) e os direitos de
acesso e de alteração dos dados (artigo 43, caput e § 3º).
Na mesma linha, a Lei do Cadastro Positivo também
exige a comunicação inequívoca do titular (artigo 4º, § 4º, I
a III), de modo similar ao previsto no artigo. 43, caput e § 2º,
do Código de Defesa do Consumidor.
Desse modo, percebe-se que, a fim de deixar
de ser enquadrado como um simples meio de
fornecimento de dados, o indivíduo passa a fi-
gurar como um elemento central ao longa da
evolução da proteção dos dados pessoais, a
ponto desta proteção ser equiparada “ao direito
de o cidadão autogerenciar as suas informações
pessoais” (MALHEIRO, 2017, p. 35).
4
STJ - REsp: 22337 RS 1992/0011446-6, Relator: Ministro Ruy Rosado
de Aguiar, Data de Julgamento: 13/02/1995, T4 - QUARTA TURMA,
Data de Publicação: DJ 20.03.1995.
69
Uma das formas de materializar todo este empode-

ramento do titular de dados, seria o uso correto de seu con-
sentimento, atendendo todas as determinações que a LGPD
traz em seu bojo para isso.
Nesse sentido, Malheiro (2017, p. 34):
O consentimento é uma forma de implemen-
tar o direito à autodeterminação informativa,
visto que envolve a própria participação do in-
divíduo, que funciona como mola propulsora
da estrutura da proteção de dados, permeando
todo o processo de tratamento de dados.
III. OS LIMITES DO CONSENTIMENTO NAS

RELAÇÕES DE CONSUMO
A definição do consentimento está presente no artigo 5º,

inciso XII da Lei nº 13.709/18- Lei Geral de Proteção de Dados
- LGPD, devendo tratar-se de “manifestação livre, informada, e
inequívoca pela qual o titular concorda com o tratamento de seus
dados pessoais para uma finalidade determinada”
Conforme preceitua Vasques (2020, p. 560) “o dever
de informação sobre a utilização e destinação destes dados
e necessidade de consentimento informado concede controle
ao titular sobre os dados, protegendo-os contra usos indevi-
dos e identificando os responsáveis”.
Neste contexto, para que o tratamento de dados seja
lícito, é necessário antes haver o consentimento por parte de
seu titular, conforme inciso I, do artigo 7º do mesmo diploma 5.
5
Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas se-
guintes hipóteses: I - mediante o fornecimento de consentimento pelo titular;
70
E ainda, para ser considerada adequada, essa anuência

deve ser fornecida “por escrito ou por outro meio que demonstre
a manifestação de vontade de seu titular” (art. 7º, § 8º da LGPD),
geralmente, em documento usualmente conhecido como termo
de consentimento ou declaração de consentimento.
Observa-se que, com o advento da LGPD, em 2018,
essa concordância passou a ser dotada de uma série de pressupos-
tos de validade, devendo esta ser livre, informada, inequívoca e
com finalidade determinada, de acordo com a supracitada lei.
Conforme destaca Bruno Bioni (2019), o consentimento é
o vetor central para a coleta de dados até hoje, sendo certo que este
subentende um protagonismo do indivíduo, premissa contraditória
diante de sua vulnerabilidade e diante do meio informacional.
O consentimento do titular ao tratamento dos dados
pessoais também deve ser interpretado à luz dos princípios
elencados no artigo 6º da LGPD, a saber:
Art. 6º As atividades de tratamento de dados
pessoais deverão observar a boa-fé e os se-
guintes princípios:
I - finalidade: realização do tratamento para propó-

sitos legítimos, específicos, explícitos e informados
ao titular, sem possibilidade de tratamento poste-
rior de forma incompatível com essas finalidades;
II - adequação: compatibilidade do tratamen-

to com as finalidades informadas ao titular,
de acordo com o contexto do tratamento;
III - necessidade: limitação do tratamento ao

mínimo necessário para a realização de suas
finalidades, com abrangência dos dados per-
tinentes, proporcionais e não excessivos em
relação às finalidades do tratamento de dados;
71
IV - livre acesso: garantia, aos titulares, de

consulta facilitada e gratuita sobre a forma e
a duração do tratamento, bem como sobre a
integralidade de seus dados pessoais;
V - qualidade dos dados: garantia, aos titulares,

de exatidão, clareza, relevância e atualização
dos dados, de acordo com a necessidade e para
o cumprimento da finalidade de seu tratamento;
VI - transparência: garantia, aos titulares,

de informações claras, precisas e facilmente
acessíveis sobre a realização do tratamento
e os respectivos agentes de tratamento, ob-
servados os segredos comercial e industrial;
VII - segurança: utilização de medidas técni-

cas e administrativas aptas a proteger os da-
dos pessoais de acessos não autorizados e de
situações acidentais ou ilícitas de destruição,
perda, alteração, comunicação ou difusão;
VIII - prevenção: adoção de medidas para

prevenir a ocorrência de danos em virtude do
tratamento de dados pessoais;
IX - não discriminação: impossibilidade de

realização do tratamento para fins discrimi-
natórios ilícitos ou abusivos;
X - responsabilização e prestação de contas:

demonstração, pelo agente, da adoção de
medidas eficazes e capazes de comprovar a
observância e o cumprimento das normas de
proteção de dados pessoais e, inclusive, da
eficácia dessas medidas.
De acordo com Mendes (2014. p. 68): “a utilização de

princípios no tratamento de dados pessoais tem por objetivo ba-
lizar o tratamento dos dados pessoais, bem como atribuir poder
ao indivíduo para que possa controlar o fluxo de seus dados.”
72
Essas perspectivas servem também para alertar

agentes de tratamento que a base legal do consentimento não
precisa, nem deve, ser utilizada indiscriminadamente, pois
uma vez escolhida, devem ser observadas todas as suas es-
pecificidades, sob o risco de se considerar o consentimento
nulo e o próprio tratamento tornar-se em desacordo com a lei.
Segundo Nogueira (2020, p. 29):
Ao solicitar o consentimento ao titular, os agen-
tes de tratamento de dados devem estar atentos
ao cumprimento de tais requisitos, sob pena de
invalidade pelo consentimento estar, de certa
forma, viciado, especialmente quando houver
desequilíbrio entre estes dois atores.
Desta forma, é de suma importância a análise da

atividade de tratamento e da finalidade almejada para que a
hipótese correta seja aplicada ao caso.
No entanto, nas relações de consumo, é comum que
o “consentimento” se dê em formato de contrato de adesão6,
assim como ocorre com a maioria dos termos de uso e
políticas de privacidade de serviços oferecidos na In-
ternet, é fácil perceber que são demasiadamente longos e o
clique no “eu aceito” ao final no texto claramente não
reflete a real manifestação de vontade do usuário.
Tais práticas, tornam limitada a forma com a qual
o titular pode dispor das condições atreladas à sua anuência,
ou seja, ou concorda com tudo que está descrito ou discorda
de sua integralidade, consequentemente renunciando ao que
adviria através do consentimento do tratamento de dados.
Em outras palavras, o que acaba acontecendo com a
utilização dos contratos de adesão para a finalidade de tomada
de consentimento, é que o usuário continua exposto as regras
73
estabelecidas pelo próprio agente de tratamento e não conse-

gue ter informações completas sobre todas as finalidades a que
seus dados serão submetidos, o que de certa forma contínua
abrindo margem ao uso indiscriminado dos dados pessoais.
Via de regra, é o fornecedor quem escolhe quais
informações quer deixar em evidência e, por este motivo,
a relação de consumo eleva o grau de vulnerabilidade do
consumidor, que já é considerado a parte mais fraca da
relação e por isso o próprio Código de Defesa do Con-
sumidor já lhe confere proteção especial e com a entrada
em vigor da LGPD, esse consumidor “titular dos dados
pessoais” ganha ainda mais respaldo, seja através da au-
todeterminação informativa, seja através da exigência de
seu consentimento nos moldes da Lei, porém, a legislação
não trouxe um suporte suficiente para instrumentalizar es-
tes direitos e garantir que sejam efetivos e de acordo com
a verdadeira vontade de seu titular.
Nessa linha, considerando que há muitas práticas co-
merciais abusivas que violam a liberdade do consumidor e de-
mais garantias individuais, assim como o seu direito a infor-
mações claras e acessíveis, somado a um exército de pessoas
vulneráveis que, diariamente, fornecem seus dados pessoais, há
um grande potencial de inefetividade da aludida lei, se não for
objeto de maiores reflexões e boas práticas para se alterar este
contexto.
A vulnerabilidade dos titulares de dados pessoais é
tanta que o autor Bruno Bioni, refere-se a estes como hiper-
vulneráveis frente aos controladores e operadores dos dados
pessoais, “sobretudo por eles estarem inseridos em meio a
uma relação assimétrica que lhes tolhe o poder de autodeter-
minação sobre seus dados” (2019, p.23).
74
É de conhecimento notório a gigantesca quantidade

de dados com os quais os próprios titulares alimentam as
plataformas, sem terem consciência da importância e do valor
dessas informações.
Nessa perspectiva, conclui-se que é um grande pas-
so o indivíduo estar no controle de suas informações, mas
é necessário analisar que implementar o consentimento é
uma atividade complexa, repleta de desafios e dificuldades
e o mero fato de o legislador conceder aos seus titulares a
possibilidade de determinarem o tratamento de seus dados
pessoais, não garante, por si, a proteção desse direito.
IV. CONSIDERAÇÕES FINAIS
Não há dúvidas que os dados pessoais são o grande

ativo da atual geração e os detentores destas informações são
aqueles que possuem maior poder na sociedade, impondo
novas dinâmicas nas relações sociais e estabelecendo para o
Estado a necessidade de fixar uma efetiva proteção dos indi-
víduos diante da nova realidade imposta.
Na sociedade moderna da informação, prevalecem
definições funcionais de intimidade e vida privada, associa-
das à possibilidade de um indivíduo controlar o fluxo das in-
formações que digam respeito à sua vida privada.
No contexto atual, em que há dados excessivos, tor-
na-se um desafio ao titular dos dados, uma vez que o acesso
facilitado às suas informações e a transparência tornam-se cada
vez mais necessários para que se possa exercer esse direito.
Desta forma, é imprescindível garantir ao titular de
dados mecanismos que tornem possível o exercício desses
75
direitos, que se darão somente através da eficácia do consen-

timento manifestamente livre, informado e inequívoco.
Nesse sentido, apoiado em quaisquer das bases le-
gais previstas, os princípios da boa-fé objetiva, da autodeter-
minação informativa e da privacidade do indivíduo deverão
ser observados. Ainda, deverá ter o dever de lealdade e trans-
parência para com o titular do dado tratado.
De igual modo, em relação ao titular dos dados,
também será necessária uma importante mudança em seu
comportamento, um aculturamento para que os titulares de
dados passem a cuidar de suas informações.
O próprio presidente da Autoridade Nacional de Dados,
Wlademar Gonçalves Ortunho Júnior, em seus pronunciamentos,
já deixou claro que o principal foco da atuação do órgão, a princí-
pio, será a educação, e não a aplicação de multas e sanções.
Essa tomada de consciência das pessoas está, simul-
taneamente, expressa e implícita na LGPD, quando esta traz
todos os seus princípios voltados para uma boa governança
de dados, isso inclui cuidado e atenção dos próprios titulares.
O controle de informações por parte do titular é
um passo extremamente importante e necessário, mas a im-
plementação do consentimento enfrentará desafios para que seja
hábil a empoderar o usuário cujos dados venham a ser tratados.
Em vista dos aspectos aqui descritos, não se tem in-
tenção de esgotar todas as discussões sobre o presente as-
sunto, mas de apresentar reflexões, propor estudos futuros
e ampliar a discussão sobre temática tão importante a qual
se trata a materialidade da autodeterminação informativa, o
atual modelo de consentimento e a real anuência do titular de
dados trazida pela Lei Geral de Proteção de Dados.
76
É possível afirmar que a autodeterminação informa-

tiva é o coração da LGPD, sendo ela fundamental para que
essa legislação tenha eficácia, no entanto, ainda há um longo
caminho para se efetivar esse princípio e conferir uma efetiva
segurança ao titular de dados.
V. REFERÊNCIAS
BIONI, Bruno Ricardo. Proteção de dados pessoais: a função

e os limites do consentimento. Rio de Janeiro: Forense, 2019.
BRASIL. Código de Defesa do Consumidor, Lei nº 8.078. Promulgada
em 11 de setembro de 1990. Disponível em: < http://www.planalto.gov.
br/ccivil_03/leis/l8078compilado.htm>. Acesso em 06 junho 2022.
BRASIL. Lei Geral de Proteção de Dados. Lei nº 13.709.
Promulgada em 14 de agosto de 2018. Disponível em:
<http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/
lei/l13709.htm>. Acesso em: 06 junho de 2022.
BRASIL. STJ, REsp. 22337/RS. Relator: Ministro Ruy Ro-
sado de Aguiar. Data de Julgamento: 13 fev.1995.
DINIZ, Maria Helena. Curso de Direito Civil Brasileiro: Teo-
ria Geral do Direito Civil. 33ª ed. São Paulo: Saraiva, 2016.
DONEDA, Danilo Doneda. Da privacidade à proteção de
dados pessoais. Rio de Janeiro: Renovar, 2006.
MALHEIRO, Luíza Fernandes. O consentimento na proteção
de dados pessoais na Internet: uma análise comparada do Re-
gulamento Geral de Proteção de Dados europeu e do Projeto
de Lei 5.276/2016. Trabalho de Conclusão de Curso (Bacharela-
do em Direito) — Universidade de Brasília, Brasília, 2017.
77
MENDES, Laura Schertel. Privacidade, proteção de dados

e defesa do consumidor: linhas
gerais de um novo direito fundamental – Série IDP: linha
de pesquisa. São Paulo: Saraiva, 2014
NOGUEIRA, Fernanda Araújo Couto e Melo; FONSECA,
Maurício Leopoldino da. O consentimento na lei geral de pro-
teção de dados: autonomia privada e o consentimento livre,
informado, específico e expresso. Lei geral de proteção de
dados: uma análise preliminar da lei 13.709/2018 e da expe-
riência de sua implantação no contexto empresarial. Bernar-
do Menicucci Grossi (org.). Porto Alegre: Editora Di, 2020.
VANZOIF, Rony. In MALDONADO, Viviane Nóbrega;
BLUM, Renato Opice. LGPD: Lei Geral de Proteção de
Dados. Coordenadores: MALDONADO, Viviane Nóbrega;
BLUM, Renato Opice. São Paulo: Revista dos Tribunais, 2019.
VASQUES, Viviane da Silva Coelho. Considerações sobre
a proteção de dados pessoais sensíveis no ambiente vir-
tual. Cibernética jurídica: estudo sobre o direito digital.
Cláudio Joel Brito Lóssio; Luciano Nascimento; Rosangela
Tremel (Organizadores). Campina Grande: EDUEPB, 2020.
78
“COMPLIANCE BY DESIGN”: ALINHANDO O PRO-

GRAMA DE COMPLIANCE À CULTURA ÉTICA DE
PRIVACIDADE E PROTEÇÃO DE DADOS PESSOAIS
Clarissa Lima1
O programa de privacidade e proteção de dados pes-

soais costuma ser chamado de “compliance digital”, seja para
adequação à Lei Gerla de Proteção de Dados (Lei n. 13.709/21,
LGPD), seja para adequação a qualquer outra normativa seme-
lhante, como a General Data Protection Regulation (GDPR).
A rigor, nada haveria de equivocado se a menção ti-
vesse apenas por objetivo delimitar um escopo: a conformi-
dade digital – que pode ser não só vinculada à privacidade e
proteção de dados, mas também incluir a própria segurança
da informação de um modo geral.
A proposta deste artigo, no entanto, é fornecer uma
perspectiva não setorizada sobre como a cultura de privacida-
de e proteção de dados pode ser alinhada ao objetivo de um
programa de compliance, e qual seria o impacto dessa decisão.
Antes de tudo, porém, o que se considera um progra-
ma de compliance?
1
Advogada e Consultora em Compliance. Auditora líder em Sistema de
Gestão Integrado Compliance e Antissuborno. Membro da Comissão de
Ética Pública do Estado de Pernambuco.
79
Falar em compliance é falar sobre cumprir requisitos

e firmar compromissos institucionais, agindo-se de forma vo-
luntária, proativa e consciente para que sejam apropriados à
cultura de uma organização.
Sob esse olhar, os requisitos são as normas legais e regula-
tórias, que deveriam ser cumpridas by default por qualquer organi-
zação, e os compromissos, personalizados para cada empresa. Tais
são as agendas eleitas como essenciais ao negócio, por transmitirem
seus valores, propósitos e entregarem valor, como: questões de di-
versidade, equidade e inclusão; integridade e antissuborno; ESG;
privacidade e proteção de dados (incluindo-se os pessoais).
Assim, para o programa de compliance, os requisitos
(obrigações legais e regulatórias) e os compromissos, uma
vez firmados e formalmente declarados, transformam-se em
obrigações de compliance (INTERNATIONAL..., 2014), de
mesma hierarquia e importância.
É desse contexto que se extrai a corriqueira definição
segundo a qual compliance é obedecer às regras externas (leis)
e internas de uma organização, que deverão ser cumpridas por
todos, a começar pela alta direção, no que se chama “tone from
the top”, popurlarmente conhecido como “o exemplo arrasta”.
Como ferramenta de governança que é, o compliance,
para ser efetivo e por tratar da essência do próprio negócio,
requer liderança e comprometimento ativo de quem o dirige,
para não só aprovar as políticas necessárias, mas também as
assegurar por meio das seguintes ações visíveis e consistentes
(INTERNATIONAL..., 2014):
a) alinhar o comprometimento da organiza-
ção para o compliance de seus valores, ob-
jetivos e estratégia, a fim de colocar o com-
pliance adequadamente;
80
b) comunicar seu comprometimento de com-

pliance, a fim de construir a consciência e
motivar os empregados a adotar o sistema de
gestão de compliance;
c) incentivar todos os empregados a aceitar a

importância de alcançar os objetivos de com-
pliance pelos quais são responsabilizados;
d) criar um ambiente onde o relato de não

cumprimento é incentivado e o relato do em-
pregado estará a salvo de retaliação;
e) incentivar os empregados a fazer suges-

tões que facilitem a melhoria contínua do
desempenho do compliance;
f) assegurar que o compliance seja incorpo-

rado às iniciativas mais amplas da cultura e
da mudança de cultura organizacional;
g) identificar e agir prontamente para corrigir

ou resolver o não cumprimento;
h) assegurar que as políticas organizacionais,

procedimentos e processos apoiem e incenti-
vem o compliance;
i) assegurar que os objetivos e metas ope-

racionais não comprometam o comporta-
mento compatível.
A definição é simples, mas tal simplicidade é inversa-

mente proporcional à sua execução. Como fazer com que as
pessoas se engajem e entendam a importância do cumprimen-
to dessas obrigações?
Compliance é sobre comportamento humano, refle-
xão e tomada de decisão amparada em valores, princípios
81
e crenças; demanda, em primeiro lugar, um claro propósito

organizacional. Nenhum mecanismo de controle (ou regras),
por mais que seus processos e procedimentos sejam bem de-
senhados, conseguirá engajamento se não for endereçado da
maneira mais assertiva, isto é, focado em seu porquê.
Simon Sinek (SINEK; MEAD; DOKER, 2018) estabe-
leceu o conceito do “Porquê e do Círculo Dourado”, segundo o
qual toda organização – e todas as pessoas – opera em três níveis:
o que fazemos, como o fazemos e porque o fazemos. Enquanto os
dois primeiros são facilmente explicáveis, geralmente o produto
ou serviço, e o que torna a organização diferente das demais, pou-
cos indivíduos (ou empresas) conseguem articular com nitidez o
porquê (SINEK; MEAD; DOKER, 2018, p. 22-29).
O porquê é o senso de propósito, uma causa ou uma
crença, fonte de inspiração. E qual a importância disso? É
que, ao contrário do que usualmente se pensa, em 99% dos
casos age-se pela “intuição” (sistema límbico responsável
pelas emoções), e não por tomada de decisão racional (1%),
guiada pelo neocórtex (SILVEIRA, 2018). As pessoas preci-
sam ser inspiradas, motivadas, conectadas à mensagem em
direção à ação (acionando o sistema límbico), e isso pode
ser percebido não só na perspectiva dos colaboradores, mas
também na relação do cliente com as empresas:
Empresas que inspiram, que impõe confian-
ça e lealdade a longo prazo, são as que nos
fazem sentir que estamos realizando algo
maior do que apenas economizar um pouco
de dinheiro.
Essa sensação de aliança com algo maior é o

motivo pelo qual continuamos usando a ca-
misa do nosso time mesmo que ele não vença
nenhum campeonato há mais de 10 anos.
É por causa dela que algumas pessoas sempre

comprarão produtos da Apple, ainda que não
82
sejam a opção mais acessível. Quer gostemos

de admitir ou não, não somos seres inteira-
mente racionais (SILVEIRA, 2018, p. 25).
Assim, programas de compliance instituídos por exi-

gência regulatória de mercado ou como requisito para obten-
ção de capital, por exemplo, correm o risco de se tornarem
de “prateleira” ou meras formalidades (mais regras), sem ca-
pacidade para gerar mudança de comportamento real, para
orientar as pessoas no momento de significativos dilemas
éticos, quando comparados àqueles alinhados a um propósi-
to organizacional, sustentado por práticas cotidianas, da alta
direção à equipe operacional.
Compliance dissociado do porquê organizacional,
que não ressalte a ética e a integridade, desperdiça, aliás, uma
importante ferramenta de gestão para catalisar uma cultura
focada nas pessoas, entendendo-se que, para além da busca
das necessidades básicas, o indivíduo quer se autorrealizar,
sentimento que não se resume a ganhos financeiros, mas de
natureza mais profunda como ser partícipe de algo maior, de
construir bem-estar para os outros ou, ainda, de transformar o
seu redor com suas pequenas ações cotidianas.
Bem entendido e alinhado o programa de compliance,
como inserir a cultura de privacidade e proteção de dados
(incluindo pessoais) em sua agenda?
Esses dois mundos podem se conectar por duas vias:
(i) pelo uso eventual do mesmo chapéu de um encarregado
de dados (DPO) e um chief compliance officer (CCO), de
modo que o programa de privacidade e proteção de dados
(ou, como a LGPD denomina, programa de governança em
privacidade) e o programa de compliance estarão fortemente
imbricados, não pela conjunção dos seus processos, porque
83
são jornadas próprias, mas por estarem submetidos à mesma

gestão; (ii) pelo compromisso da organização em elevar a cul-
tura de privacidade e proteção de dados como valor.
Malgrada a discussão sobre a possibilidade ou não de
cumulação dessas funções – em face de um potencial conflito
de interesse, já que um CCO trata, na essência de sua ativi-
dade, dados pessoais, inclusive dados pessoais sensíveis, e,
por ocasião de investigações internas, não poderia acumular
a função de DPO, por não poder se autofiscalizar1 (BRASIL,
2018) –, é certo que, ao se coordenar ambos os programas, é
natural que essa agenda se torne transversal.
Importante ressaltar que a existência de um programa efe-
tivo de governança em privacidade demanda, na mesma medida,
tudo o que foi até aqui mencionado para o programa de complian-
ce, como expressamente traz o art. 50, § 2.º, I, da LGPD:
Art. 50. Os controladores e operadores,
no âmbito de suas competências, pelo tra-
tamento de dados pessoais, individualmente
ou por meio de associações, poderão for-
mular regras de boas práticas e de gover-
nança que estabeleçam as condições de
organização, o regime de funcionamento,
os procedimentos, incluindo reclamações e
petições de titulares, as normas de segu-
rança, os padrões técnicos, as obrigações
específicas para os diversos envolvidos no
tratamento, as ações educativas, os meca-
nismos internos de supervisão e de miti-
1
Embora a LGPD, no seu artigo 41, não traga qualquer vedação expressa
quanto à cumulação das funções, a boa prática indica que o DPO deve ser
independente e, portanto, isento de conflitos de interesse. Nesse sentido,
aliás, foi a sinalização da Autoridade de Proteção de Dados Belga, ao multar
a empresa Proximus S/A €50,000 por não garantir que seu DPO pudesse
exercer as tarefas essenciais da função, notadamente a supervisão de forma
independente, já que também era head de compliance, gestão de riscos e
auditoria interna, descritas no artigo 38.6 do GDPR (BRASEUR, 2020).
84
gação de riscos e outros aspectos relaciona-

dos ao tratamento de dados pessoais.
§ 2º Na aplicação dos princípios indicados
nos incisos VII e VIII do caput do art. 6º desta
Lei, o controlador, observados a estrutura, a
escala e o volume de suas operações, bem
como a sensibilidade dos dados tratados e a
probabilidade e a gravidade dos danos para
os titulares dos dados, poderá:
I - implementar programa de governança em

privacidade que, no mínimo:
a) demonstre o comprometimento do con-

trolador em adotar processos e políticas
internas que assegurem o cumprimento,
de forma abrangente, de normas e boas prá-
ticas relativas à proteção de dados pessoais;
b) seja aplicável a todo o conjunto de dados pes-

soais que estejam sob seu controle, independen-
temente do modo como se realizou sua coleta;
c) seja adaptado à estrutura, à escala e ao vo-

lume de suas operações, bem como à sensi-
bilidade dos dados tratados;
d) estabeleça políticas e salvaguardas adequa-

das com base em processo de avaliação siste-
mática de impactos e riscos à privacidade;
e) tenha o objetivo de estabelecer relação de

confiança com o titular, por meio de atuação
transparente e que assegure mecanismos de
participação do titular;
f) esteja integrado a sua estrutura geral de

governança e estabeleça e aplique meca-
nismos de supervisão internos e externos;
g) conte com planos de resposta a incidentes

e remediação; e
85
h) seja atualizado constantemente com base

em informações obtidas a partir de monitora-
mento contínuo e avaliações periódicas;
II - demonstrar a efetividade de seu programa

de governança em privacidade quando apro-
priado e, em especial, a pedido da autoridade
nacional ou de outra entidade responsável
por promover o cumprimento de boas práti-
cas ou códigos de conduta, os quais, de for-
ma independente, promovam o cumprimento
desta Lei (BRASIL, 2018, grifos nossos).
Todavia, o ponto que se traz à reflexão é: indepen-

dentemente da forma como a organização promova a gestão
do seu programa de governança em privacidade, com res-
ponsabilidade única ou separada, ou, ainda, mesmo que nem
exista um programa de compliance, como tem acontecido
atualmente,2 é necessário conduzir intencionalmente a cultu-
ra de privacidade e proteção de dados como compromisso de
compliance, sendo, portanto, uma obrigação voluntariamente
eleita pela organização como valor. Enquanto valor, ficará
impregnada no propósito organizacional (porquê) e, por con-
sequência, terá maior possibilidade de adesão e engajamento.
Outrossim, quando um programa de compliance é alça-
do à condição de valor, a cultura de privacidade e proteção de
dados passa a ser reforçada no próprio código de ética e condu-
ta, documento que materializa a essência, as práticas esperadas
e não toleradas, deixando de permear tão somente as políticas
do programa de governança em privacidade, para formalmen-
te tornar-se escopo do compliance. Isso mesmo fez o Nubank
(2022), conforme consta em seu Código de Conduta:
O enforcement da LGPD para adequação tem sido mais efetivo do que

2
a exigência legal ou de mercado para implantação de um programa de

compliance de escopo mais amplo, como se viu.
86
Proteger os dados pessoais dos nossos clientes,

funcionários e todas as pessoas com quem a
Companhia interage é fundamental para preser-
var a confiança nos relacionamentos do Nubank.
Uma abordagem robusta de privacidade e

proteção de dados tem o objetivo de fazer as
pessoas se sentirem seguras quando usamos
seus dados de forma ética e protegemos seus
direitos de privacidade e proteção de dados
(conforme definido pelas leis e regulamen-
tações de privacidade e proteção de dados,
como o direito de acessar dados pessoais).
Esse manifesto interno e externo (porque os valores

devem ser anunciados a todos os stakeholders da organiza-
ção), sobretudo em empresas em que o tratamento de dados
pessoais faz parte do modelo de negócio (é fim, e não apenas
meio), revela-se como sendo essencial à sua perenidade.
A proteção aos dados pessoais foi alçada à categoria
de garantia fundamental, presente agora no rol do art. 5.º,
LXXIX, da CF88,3 em razão da Emenda Constitucional (EC)
n. 115/2022, o que despertará em cada titular de dados a refle-
xão sobre a importância deles e o discernimento em relação
ao seu tratamento por terceiros. Assim, a transparência é fator
essencial para estabelecimento da confiança entre um cliente/
usuário e a organização, como também se reflete no impacto
da tecnologia nos indivíduos, graças a uma transferência ace-
lerada e não criticamente consciente da autoridade humana
para com os algoritmos. Como pontua Harari (2018, p. 83):
“LXXIX – é assegurado, nos termos da lei, o direito à proteção dos da-

3
dos pessoais, inclusive nos meios digitais” (BRASIL, 1988).
87
Quando a autoridade passa de humanos para

algoritmos, não podemos mais ver o mundo
como o campo de ação de indivíduos autôno-
mos esforçando-se por fazer as escolhas certas.
Em vez disso, vamos perceber o universo inteiro

com o um fluxo de dados, considerar organis-
mos pouco mais que algoritmos bioquímicos e
acreditar que a vocação cósmica da humanidade
é criar um sistema universal de processamento
de dados – e depois fundir-se a ele.
Já estamos nos tornando, hoje em dia, minús-

culos chips dentro de um gigantesco sistema
de processamento de dados que ninguém
compreende a fundo.
Portanto, a cultura de privacidade e proteção de da-

dos precisa ser permeada, antes de tudo, pelo senso de ética
dos dados e algoritmos, muito mais do que tão somente pela
cautela em adotar medidas de proteção contra vazamentos,
principalmente porque desenvolvedores, startups e empresas
já sabem que “Os donos dos dados são os donos do futuro”,
como afirmou o pensador israelense Harari (2018, p. 102).
O estímulo intencional à consciência ética vai permitir
que a organização de fato execute, em seus processos de ne-
gócio, os fundamentos e os princípios previstos nos arts. 2.º
e 6.º, respectivamente, que orientam a LGPD (em especial e
mais evidentemente nos casos concretos), o respeito à priva-
cidade, à autodeterminação informativa, o princípio da finali-
dade e necessidade, em contraponto à regra vigente: coleta-se
tudo que se pode, decide-se depois o porquê. Dados são va-
liosos, é indispensável que se lembre disso.
Se o propósito, como se viu, não é claro, sem
ambiguidades e desprovido de ação sustentada, provavelmente
88
a equipe não estará preocupada em incorporar outros dois

princípios, do privacy by design e do privacy by default.
Assim, enquanto não existe uma consciência coletiva
acerca dos limites da atuação, o programa e a sociedade per-
manecem entorpecidos pela delegação das decisões do dia a
dia a um controle indevido de dados, como: a indicação de
um filme a assistir, com base no histórico da plataforma de
streaming; o estilo de roupa e imagem que serão mostrados pe-
los influenciadores de sua rede social; a sugestão do que comer
em razão da geolocalização (e não pela real vontade de comer).
Em algum momento, as pessoas se dão conta (ou não) de que
até a liberdade de votar não foi assim tão “livre”,4 e que a rela-
ção de softwares não é de clientela, e sim de produto. Por isso,
a autorregulação de cada organização é cada vez mais premen-
te, como adverte Eduardo Magrani (2019, p. 171):
Muitas vezes não há uma consciência crítica
sobre como os algoritmos que compõem as
Coisas funcionam, sempre visando compreen-
der como podem nos oferecer informações per-
sonalizadas a partir dos nossos dados pessoais
ou mesmo manipular nossa visão política.
É importante termos em mente que esse

funcionamento muitas vezes atende disputas
políticas ou a modelos de negócio privados que
visam maximizar lucro e não necessariamente
concretizar direitos fundamentais como
acesso à informação, expressão e cultura.
Esse senso crítico e ético é vital para cada desenvol-

vedor, startup e empresa de tecnologia que se movimenta na
Sempre é necessário lembrar a história recente da Cambridge Analytica

4
e do Facebook, sobre como, juntas, mudaram o rumo das eleições ame-

ricanas em 2016 (PRESSE, 2019).
89
criação de um software, sobretudo quando o foco é tão somen-

te ser um novo unicórnio. A que custo ou qual é o impacto da
solução para se resolver uma “dor”? Quem imaginaria que um
jogo entre os estudantes de Harvard, mostrando aos visitantes
duas fotos de estudantes, lado a lado, em que se podia escolher
qual era o mais atraente, poderia vir a impactar, globalmente, o
comportamento humano (HISTÓRIA..., 2021)?
Em troca de distâncias encurtadas e da aceleração da co-
municação que, inclusive, possibilitou novos negócios, restou à
sociedade não só a criação de uma nova linguagem via emojis,
como também uma nova forma de relacionamento. Como herança,
vive-se uma hiperconectividade, o que afasta o contato humano na
vida real e deixa transtornos mentais e sociais, justamente pelo culto
à beleza, à perfeição e à felicidade ininterrupta. Nesse sentido:
Um estudo feito pela instituição de saúde
pública do Reino Unido, Royal Society for
Public Health (RSPH), em parceria com o
Movimento de Saúde Jovem, apontou que as
redes sociais mais usadas provocam efeitos
positivos ou nocivos à saúde humana, depen-
dendo de como é utilizada. Entre as que pro-
vocam efeito positivo, se destaca o Youtube.
Entre as que prejudicam o desempenho dos
jovens, estão Instagram e Snapchat.
O resultado indicou que o compartilhamento

de fotos pelo Instagram impacta negativamente
no sono, na autoimagem e aumenta o medo de
jovens de ficar fora dos acontecimentos. Cerca
de 70% dos jovens revelaram que o aplicativo
fez com que eles se sentissem pior em relação à
própria autoimagem e, quando a fatia analisada
são as meninas, esse número sobe para 90%.
90
Essa realidade já gerou uma reação nos de-

senvolvedores do Instagram, que em 2019
decidiram ocultar para terceiros o número
de likes em publicações. “Não queremos que
as pessoas sintam que estão em uma compe-
tição dentro do Instagram e nossa expecta-
tiva é entender se uma mudança desse tipo
poderia ajudar as pessoas a focar menos nas
curtidas e mais em contar suas histórias”, in-
formou a plataforma.
Essa abordagem vai ao encontro de pesqui-

sas que apontam que pelo menos um a cada
seis jovens terá episódios de transtorno de
ansiedade em algum momento de suas vidas.
Além disso, as taxas de ansiedade e sintomas
de depressão apresentaram aumento de 70%
entre o público jovem nos últimos 25 anos.
Pesquisas sugerem que jovens usuários fre-

quentes de mídia social gastam mais do que
duas horas por dia com o uso de redes sociais
como Facebook, Twitter ou Instagram irão,
provavelmente, relatar problemas de saúde
mental, incluindo sofrimento psicológico. Esse
tipo de sentimento surge, por exemplo, quan-
do se vê amigos constantemente em férias ou
curtindo em festas, o que dá a sensação de que
estão perdendo algo (AS REDES..., [202-?]).
Quando as culturas de privacidade e proteção de dados

não forem apenas o escopo de uma política ou do que hoje se
chama de compliance digital (conformidade à lei), serão trata-
das como valor. Assim, o bom modelo de negócio ideal será o
que, além de resolver uma dor e ter o potencial de encaixar-se
no mercado, avaliará na criação, no desenvolvimento e na en-
trega, a dimensão ética, de privacidade e proteção de dados, o
que aqui se chama de “compliance by design”.
91
Isso implica ter a consciência de que um software assumi-

rá sempre sua faceta positiva e negativa, podendo salvar vidas – tal
como a inteligência artificial (IA) tem auxiliado no diagnóstico
precoce de câncer, por exemplo –, bem como podendo transfor-
mar o comportamento e a cultura de um povo (ou de todo o mun-
do), intervindo na condução de nações soberanas, fomentando
guerras, propagando ódio – sobretudo se esse software cair em
mãos erradas, como alerta Yuval Harari (2018, p. 92):
O perigo não se restringe a máquinas de ma-
tar. O sistema de vigilância pode ser igual-
mente arriscado. Nas mãos de um governo
benigno, algoritmos poderosos de vigilância
podem ser a melhor coisa que já aconteceu
ao gênero humano. Mas os mesmos algorit-
mos de Big Data podem também dar poder a
um futuro Grande Irmão, e podemos acabar
em um regime de vigilância orwelliano, no
qual todo mundo é monitorado o tempo todo.
As organizações – startups ou não – precisam nascer

ou se ressignificar, trazendo essa nova dimensão para além do
lucro, principalmente as que se propõem a ter, como modelo
de negócio, a criação e o desenvolvimento de softwares ou as
que tratam um volume relevante de dados pessoais.
Incorporar o tema da cultura de privacidade e prote-
ção de dados (e a ética de dados) ao programa de complian-
ce – quando são coexistentes – é afirmar para todas as partes
interessadas, interna e externamente, que isso faz parte do pro-
pósito institucional, e não é só uma faceta que necessariamente
deverá ser cumprida por determinação legal e constitucional.
O desafio é tornar as ações da alta administração con-
sistentes, visíveis e sustentadas, indicando que isso de fato é
um valor sobre o qual a governança se baseará, sobretudo nos
processos decisórios mais significativos, como na concepção
92
de um novo produto ou serviço, ou quando for necessário

enfrentar um dilema ético no atual modelo de negócio. Como
diz Robert Chesnut (2018), ex-chefe de ética do Airbnb, é
agir com “integridade intencional”.
Em seu livro Integridade intencional: como empresas in-
teligentes podem liderar uma revolução ética, Chesnut (2018, p.
34-35) narra o episódio em que hóspedes norte-americanos rela-
taram ter sido discriminados por alguns anfitriões da plataforma
que se recusaram a efetuar reservas após visualizarem as fotos do
perfil, enquanto outros foram mandados embora ao chegarem na
porta das propriedades, quando seus rostos foram vistos.
O Airbnb, segundo o autor, poderia apenas ter se de-
fendido, alegando não ter concorrido para ou favorecido a
prática discriminatória, mas o CEO Brian Chesky, alinhado à
missão institucional que é o pertencimento, além de endere-
çar uma carta à comunidade da plataforma encorajando a re-
cepção de todos indistintamente, adotou medidas corretivas,
passando a exigir que todos os clientes se comprometessem
a aceitar os hóspedes independentemente de raça, religião,
nacionalidade e orientação sexual. Além disso, as fotos dos
convidados só apareceriam depois da reserva, e uma equipe
foi designada para investigar as alegações de discriminação.
Compliance digital real e efetivo não é só política,
treinamentos periódicos e um sem-número de checklists de
segurança; é, antes de tudo, conceber o modelo de negócio
pensando nas potenciais repercussões que sua tecnologia ou
seus processos poderão gerar em todos os stakeholders, prin-
cipalmente no usuário e titular de dados.
É, ainda, estar disposto a tomar a decisão certa quando
o dilema se avizinhar, quando for necessário responder às se-
guintes perguntas: como sustentar uma venda online baseada em
plataformas únicas como WhatsApp, em que se trocam qualifi-
93
cações completas, inclusive a localização para as entregas em

domicílio? Em que medida o marketing digital pode utilizar os
dados pessoais publicados em redes sociais, sem consentimento,
para realizar profiling e direcionar produtos e serviços? Como
sustentar empresas que ofertam serviços por telefone ou Wha-
tsApp, cujos contatos são integralmente obtidos por banco de
dados e cuja origem não tem base legal legítima, à revelia dos
seus titulares? Quando incluir a privacidade custar mais tempo e
mais dinheiro, tais cuidados, ainda assim, serão adotados?
Dessa forma, o compliande digital requer que se este-
ja comprometido com um conjunto de valores em contextos
desfavoráveis, materializando diariamente o valor e o real
propósito institucional, rumo à “integridade intencional”, se-
gundo Chesnut, ou ao “porquê”, conforme Sinek, e ao que se
chama, aqui, de “compliance by design”.
REFERÊNCIAS
AS REDES sociais estão te fazendo bem? Veja o que ciência

diz. Medley, [202-?]. Disponível em: https://www.medley.
com.br/blog/saude-social/redes-sociais-fazem-bem-ou-mal.
BRASEUR, Kyle. Can a CCO be a DPO? Belgian data au-
thority not so sure. Compliance Week, 7 maio 2020. Dispo-
nível em: https://www.complianceweek.com/gdpr/can-a-cco-
-be-a-dpo-belgian-data-authority-not-so-sure/28865.article.
BRASIL. Constituição (1988). Constituição da República Federati-
va do Brasil. Diário Oficial da União, Brasília, DF: Centro Gráfico,
5 out. 1988. Disponível em: http://www.planalto.gov.br/ccivil_03/
constituicao/ConstituicaoCompilado.htm. Acesso em: 7 jul. 2022.
94
BRASIL. Lei n. 13.709, de 14 de agosto de 2018. Lei Geral

de Proteção de Dados Pessoais (LGPD). Disponível em: https://
www.complianceweek.com/gdpr/can-a-cco-be-a-dpo-belgian-
-data-authority-not-so-sure/28865.article. Acesso em: 7 jul. 2022.
CHESNUT. Robert. Integridade intencional: como em-
presas inteligentes podem liderar uma revolução ética. Trad.
Diego Franco Gonçales. Rio de Janeiro: Alta Books, 2021.
HARARI, Yuval Noah. 21 lições para o século 21. Trad.
Paulo Geiger. São Paulo: Companhia das Letras, 2018.
HISTÓRIA do Facebook. Wikipédia, 11 nov. 2021. Dispo-
nível em: https://pt.wikipedia.org/wiki/Hist%C3%B3ria_do_
Facebook. Acesso em: 8 jul. 2022.
INTERNATIONAL Organization for Standardization. ISO
19600:2014. Compliance management systems – Guidelines.
Local: editora, 2014.
MAGRANI, Eduardo. Entre dados e robôs: ética e privaci-
dade na era da hiperconectividade. 2. ed. Porto Alegre: Ar-
quipélago Editorial, 2019.
NUBANK. Código de Conduta. 2022. Disponível em: ht-
tps://cdn.nubank.com.br/acquisition/website/contracts/Cod-
Conduta2022_NU_PT.pdf. Acesso em: 7 jul. 2022.
PRESSE, France. Cambridge Analytica se declara culpada em
caso de uso de dados do Facebook. G1 Economia, 9 jan. 2019.
Disponível em: https://g1.globo.com/economia/tecnologia/no-
ticia/2019/01/09/cambridge-analytica-se-declara-culpada-por-
-uso-de-dados-do-facebook.ghtml. Acesso em: 7 jul. 2022.
SILVEIRA, Alexandre Di Miceli da. Ética empresarial na
pática. Rio de Janeiro: Alta Books, 2018.
SINEK, Simon; MEAD, David; DOKER, Peter. Encontre o
seu porquê. Rio de Janeiro: Sextante, 2018.
95
DIÁLOGOS ENTRE A LEI GERAL DE PROTEÇÃO

DE DADOS E O OPEN FINANCE
Daniel Becker1
Beatriz Haikal2
Aylton Gonçalves3
I. O OPEN FINANCE
O setor financeiro é um dos setores mais expostos do

ponto de vista de privacidade e proteção de dados em razão da
quantidade massiva de dados tratados, do grande número de titu-
1
Sócio do BBL Advogados e diretor de Novas Tecnologias no Centro
Brasileiro de Mediação e Arbitragem (CBMA). Advogado de resolução
de disputas com foco em litígios contratuais oriundos de setores regulados.
Professor convidado de diversas instituições, palestrante frequente
e autor de diversos artigos publicados em livros e revistas nacionais e
internacionais sobre os temas de arbitragem, processo civil, regulação e
tecnologia. Organizador dos livros “O Advogado do Amanhã: Estudos
em Homenagem ao professor Richard Susskind”, “O fim dos advogados?
Estudos em Homenagem ao professor Richard Susskind, vol. II”,
«Regulação 4.0, vol. I e II”, “Litigation 4.0” e “Comentários à Lei Geral
de Proteção de Dados”, todos publicados pela Revista dos Tribunais
2
Sócia do BBL Advogados na área de dados e tecnologia. Graduada em Direito
pela PUC-Rio, pós-graduada em Estado e Sociedade pela Associação do
Ministério Público do Estado do Rio de Janeiro (AMPERJ). Certified Infor-
mation Privacy Manager (CIPM) e OneTrust Certified Privacy Professional.
3
Associado Sênior da área consultiva regulatória de Payments, Banking, Finte-
ch & Crypto do BBL Advogados. Mestrando em Direito pelo IDP. Pós-gradua-
do em Direito Societário (EBRADI), Direito Processual Civil (IDP) e Direito
Digital e Proteção de Dados (EBRADI). Pesquisador do Grupo de Pesquisa em
Regulação Econômica e Direito Regulatório do IDP - GEDIR/IDP.
96
lares envolvidos e da variedade de operações envolvendo dados

pessoais, o que impõe a adoção de medidas efetivas para prote-
ção de tais informações. Nesse contexto, à medida que as inova-
ções tecnológicas adentram o mercado financeiro, o tratamento
de dados pessoais ganha ainda mais relevância.
O Open Finance4, iniciativa que, na jurisdição brasileira,
partiu conjuntamente do Conselho Monetário Nacional (CMN)
e do Banco Central (BC), busca, através da integração de APIs
(Application Programming Interfaces)5, padronizar o comparti-
lhamento de dados entre instituições financeiras, de pagamento
e demais instituições autorizadas a funcionar pelo BC, em am-
biente interoperável, o que favorece o desenvolvimento tecnoló-
gico, a inovação, a livre iniciativa e a livre concorrência, permi-
tindo a ampliação da oferta de produtos e serviços financeiros67.
4
Desde o dia 02 de maio de 2022, as autoridades competentes à regula-
ção do Open Finance passaram a utilizar esta expressão em substituição
ao Open Banking, com vistas a tratar de escopo mais amplo, o qual não
apenas inclui dados e serviços relacionados a produtos bancários tradicio-
nais, mas produtos com natureza de investimento, seguros e previdência
complementar aberta. A alteração da nomenclatura foi normatizada no
âmbito da Resolução Conjunta CMN/BC nº 04, de 24 de março de 2022.
5
APIs podem ser conceituadas como interfaces entre aplicativos de software,
utilizadas em operações endógenas e exógenas às organizações. Mais especi-
ficamente, as APIs possibilitam comunicação entre aplicativos de software, de
maneira que um aplicativo chama a funcionalidade de outro aplicativo. EURO
BANKING ASSOCIATION. Understanding the business relevance of Open
APIs and Open banking for banks. Information Paper, EBA Working Group on
Electronic Alternative Payments Version 1.0, [S.l.], may 2016. Disponível em:
<https://www.abe-eba.eu/media/azure/production/1522/business-relevance-of-
-open-apis-and-open-banking-for-banks.pdf> . Acesso em: 14.07.2022.
6
Conforme se extrai do Voto 44/2020-CMN, de 30 de abril de 2020 (Ex-
posição de motivos da norma de regência do Open Finance, a Resolução
Conjunta CMN/BC nº 01, de 04 de maio de 2020).
7
“O Open Banking entrou em operação em janeiro de 2018. Ele abre o cami-
nho para novos produtos e serviços que ajudam os clientes e as pequenas e
médias empresas a terem mais controle sobre suas finanças. Poderia dar aos
clientes uma compreensão mais detalhada de todas as suas contas bancárias.
97
O compartilhamento de dados entre as instituições con-

tribui para a competitividade do mercado e diminui a assimetria
informacional, na medida em que players mais novos, como as
novas instituições de pagamento e sociedades de crédito direto
(fintechs de crédito), podem ter acesso aos mesmos dados que os
players mais tradicionais, tais quais os bancos comerciais — que
possuem uma base de dados mais robusta em razão do período
mais longo de relação com seus correntistas. Em estudo do ano
de 2016, promovido pela Competition and Markets Authority,
autoridade antitruste do Reino Unido, foi apontado que o acesso
a base mais ampla de dados por players mais consolidados no
mercado financeiro representa significativa vantagem competi-
tiva, a qual pode configurar barreira à entrada e manutenção de
novos agentes econômicos8.
O tema da competitividade, alvo da normatização do
Open Finance brasileiro, é um dos itens mais caros à regula-
ção bancária9, de pagamentos e antitruste10. Conforme o mais
recente Relatório de Economia Bancária, publicado pelo BC
Por exemplo, o cliente pode permitir que o fornecedor exiba todas as infor-
mações de sua conta bancária, mesmo que sejam multibancárias, em um
único local seguro, proporcionando melhor supervisão e transparência de
todas as suas finanças, para que quaisquer bancos utilizem, a qualquer mo-
mento”. GOULDING, Steve; ABLEY, Richard. Relationship management
in banking: principles and practice. New York, NY: Kogan Page, 2018, p. 54.
8
COMPETITION AND MARKETS AUTHORITY (CMA). Retail banking
market investigation: Final report. Londres: CMA, 2016. Disponível em: <ht-
tps://assets.publishing.service.gov.uk/media/57ac9667e5274a0f6c00007a/retail-
-banking-market-investigation-full-final-report.pdf> . Acesso em 14.07.2022.
9
A concentração bancária é uma das mais importantes pautas da Agenda
BC#, agenda institucional que orienta a regulação do BC, tendo como pi-
lares a democratização financeira, firmada em inclusão, competitividade,
transparência, educação e sustentabilidade.
10
Como se pode observar, por exemplo, do teor da Nota Técnica nº 35/2018 (Re-
querimento nº 08700.005251/2018-32) e da Nota Técnica nº 10/2016 (Procedimen-
to Preparatório nº 08700.010790/2015-41), ambas firmadas no âmbito da Superin-
tendência-Geral do Conselho Administrativo de Defesa Econômica (CADE).
98
em 31 de agosto de 2021, a concentração bancária estava com

o índice de 81,8% (oitenta e um vírgula oito por cento). Se-
gundo Joaquim, Van Doornik e Ornelas, há evidências de que
a concentração bancária gera maior spread dos empréstimos
(diferença entre as taxas de empréstimo e de depósito) e di-
minui o volume de crédito na economia11.
Com o Open Finance, a barreira de entrada existente aos no-
vos players tende a diminuir, principalmente levando-se em conside-
ração a possibilidade de oferta de produtos mais aderentes à necessi-
dade do consumidor e melhor gestão pelas instituições dos serviços
ofertados, especificamente quanto ao risco envolvido na operação.
Como explicam Marquez, Friedman e Dell’ariccia12,
ao ingressar no mercado de crédito, os agentes econômicos
entrantes enfrentam casos de seleção adversa, nos quais são
sujeitos à concessão de crédito para maus pagadores, que não
são eleitos como clientes de players mais consolidados, por
conta da base de dados que estes detêm.
No entanto, sem embargo de suas importantes
benesses à sociedade civil, o Open Finance implica na
necessidade de desenvolvimento de mecanismos mais
eficazes de segurança, especialmente considerando o au-
mento de fraudes e incidentes envolvendo dados pessoais
no contexto brasileiro.
11
JOAQUIM, Gustavo; VAN DOORNIK, Bernardus; ORNELAS, José
Renato. Bank Competition,Cost of Credit and Economic Activity: evi-
dence from Brazil: Documento de trabalho 508. Brasília: Banco Central
do Brasil, Departamento de Pesquisa, 2019. Disponível em: <https://
www.bcb.gov.br/pec/wps/ingl/wps508.pdf>. Acesso em: 14.07.2022.
12
DELL’ARICCIA, Giovanni; FRIEDMAN, Ezra; MARQUEZ, Robert.
Adverse Selection as a Barrier to Entry in the Banking Industry. The
RAND Journal of Economics, v. 30, n. 3, p. 515–534, 1999. Disponível
em: <www.jstor.org/stable/2556061>. Acesso em: 13.07.2022.
99
Dessa forma, é importante que as instituições

participantes do Open Finance adotem expedientes em
conformidade com suas políticas de segurança ciberné-
tica, em linha com os comandos da Resolução CMN nº
4.893/2021, da Resolução BCB nº 85/2021 e da Resolu-
ção BCB nº 115/2021. Além disso, para fins de confor-
midade no âmbito dos negócios firmados no contexto do
Open Finance, devem observar: (i) a Resolução BCB nº
142/2021, que trata de prevenção de fraudes; (ii) a Cir-
cular BACEN nº 3.978/2020 e a Lei nº 9.613/1998, que
tratam de prevenção à lavagem de dinheiro; (iii) a Reso-
lução BCB nº 4.968/2021 e a Resolução BCB nº 93/2021,
que tratam de controles internos; e (iv) a Resolução CMN
nº 4.557/2017, que trata de gerenciamento de riscos, tal
qual o de crédito.
II. UMA ANÁLISE SOBRE O DRC E O DPO
Tanto a LGPD quanto a Resolução Conjunta CMN/

BC nº 01/2020 dispõem sobre figuras importantes, que con-
tribuem para a governança das instituições, buscando concre-
tizar princípios trazidos pela LGPD como responsabilização,
prestação de contas, transparência, prevenção e segurança.
O Encarregado pela Proteção de Dados (Data Protection
Officer – DPO), previsto pela LGPD, é o profissional designado
para atuar como ponto de contato entre os agentes de tratamento,
os titulares de dados e a Autoridade Nacional de Proteção de Da-
dos (ANPD). Já o Diretor Responsável pelo Compartilhamento
(DRC) deverá elaborar relatório semestral contendo detalhes so-
bre o compartilhamento de dados via Open Finance, conforme a
Resolução Conjunta CMN/BC nº 01/2020.
100
Tanto a LGPD quanto a Resolução Conjunta nº 1 de 2020

determinam que a nomeação é obrigatória, ou seja, o DPO deve
ser nomeado pelos agentes de tratamento, bem como as institui-
ções participantes do Open Finance devem nomear um DRC.
Recentemente, a ANPD dispôs por meio de Resolu-
ção sobre a dispensa de nomeação do DPO para agentes de
tratamento de pequeno porte, os quais deverão apenas dispo-
nibilizar um canal de comunicação para o titular de dados,
tendo ressaltado, por outro lado, que a nomeação do Encarre-
gado é uma boa prática.
É sabido que as funções atribuídas ao DRC são menos
numerosas que as funções do DPO. Enquanto o DRC tem
por atribuição a compilação de relatório semestral que deve
ser enviado ao BC, contendo detalhes sobre os pedidos de
compartilhamento realizados por clientes, o DPO é responsá-
vel por coordenar e orientar os colaboradores em matéria de
proteção de dados, fazer cumprir as normas de proteção de
dados, atender as determinações das autoridades e responder
às requisições dos titulares de dados.
Acerca da cumulação de funções pelo DPO, a LGPD
é silente. Na Europa, o GDPR dispõe que não deve haver
cumulação de funções quando a cumulação possa resultar em
um conflito de interesses. Tal disposição se repete no âmbito
do Open Finance quanto ao DRC, possibilitando o exercício
de mais funções pela pessoa escolhida para o cargo.
À primeira vista, interpretando as previsões normati-
vas, não parece haver qualquer impedimento para que o DPO
cumpra também a função de DRC, já que o compartilhamen-
to é uma das atividades previstas pelo art. 5º, X, da LGPD ao
dispor sobre o conceito de tratamento de dados pessoais.
101
De qualquer modo, o Open Finance, pela quantida-

de de dados compartilhados, já exigiria por si só uma aten-
ção especial sob a ótica de privacidade e proteção de dados,
não sendo nenhuma surpresa que o DPO seja figura-chave
em relação ao sistema financeiro aberto e a cumulação com a
função de DRC um caminho natural, observada a intimidade
com o tema e suas skills, desde que respeitados os parâmetros
definidos pelas duas normas.13
Por outro lado, é importante lembrar que a Resolução
Conjunta nº 01/2020 não permite que o DRC seja pessoa es-
tranha à instituição, devendo ser expressamente indicado em
estatuto ou contrato social. Não é necessário que a pessoa
natural indicada para exercício da função de DRC participe
da composição societária da instituição participante do Open
Finance, sendo suficiente a eleição/nomeação para exercício
do cargo, por tempo determinado. A LGPD, por sua vez, não
estabelece tal vedação, assim, na hipótese de terceirização do
DPO, não será possível que ele cumule as funções de DRC
em razão da proibição contida na Resolução.
III. CONSENTIMENTO NA LGPD X CONSENTI-

MENTO NO OPEN FINANCE
Como vimos anteriormente, o Open Finance consiste

em um modelo de compartilhamento padronizado de dados ban-
cários e não-bancários, mas, de acordo com a Resolução Con-
13
BECKER, Daniel; BRUZZI, Eduardo; TORRES, Frederico Boghossian; GONÇAL-
VES, Aylton. DPO e DRC: diálogo entre LGPD e Open Banking? Jota, 29.01.2022.
Disponível em: < https://www.jota.info/opiniao-e-analise/colunas/regulacao-e-novas-
-tecnologias/dpo-drc-lgpd-open-banking-29012022> Acesso em 10.07.2022.
102
junta CMN/BCB nº 01/2020, tal compartilhamento só poderá

ocorrer a partir do consentimento prévio do titular de dados por
meio de “manifestação livre, informada, prévia e inequívoca”.
A Resolução Conjunta CMN/BCB nº 01/2020
apresenta requisitos formais para a obtenção do consentimento,
quais sejam: (a) conteúdo com linguagem clara, objetiva e
adequada; (b) finalidades determinadas; (c) prazo compatível
com tais finalidades; (d) dever de informação à instituição
transmissora de dados ou detentora da conta; (e) discrimina-
ção dos dados ou serviços objeto de compartilhamento; e (f)
identificação do cliente.
O consentimento para o compartilhamento das infor-
mações com outra instituição participante do Open Finance,
segundo o art. 10 da Resolução, deve ser obtido pela institui-
ção receptora ou iniciadora da transação de pagamento. Do
mesmo modo, esta terá a obrigação de assegurar que os dados
compartilhados sejam pertinentes às finalidades informadas
ao titular quando da obtenção do consentimento.
Para fins de Open Finance, o consentimento não po-
derá ser coletado: (a) por meio de contrato de adesão, deven-
do ser obtido em cláusula separada e destacada; (b) por meio
de formulário com opção de aceite previamente preenchida;
(c) de forma presumida, sem manifestação clara de vontade
pelo cliente.
Em relação ao lapso temporal, o consentimento no
Open Finance só é válido pelo período de 12 (doze) meses,
desde que compatível com a finalidade explicitada, com ex-
ceção dos serviços de iniciação de pagamento que preveem
como limite a data de encerramento das transações.
É interessante notar que, apesar de a norma de
103
regência do Open Finance, a Resolução Conjunta CMN/BC

nº 01, ter sido publicada em 2020, o suporte legal-regulatório
do compartilhamento de dados do escopo firmado no Sistema
Financeiro Aberto foi consolidado há mais de uma década.
A Lei Complementar nº 105/2001 (Lei do Sigilo Ban-
cário) regula o dever de sigilo das operações no âmbito fi-
nanceiro, em razão da natureza jurídica dos dados a que es-
sas atividades se referem e em respeito à privacidade da vida
financeira dos indivíduos. Entretanto, como exceção à regra
que determina o dever de sigilo, a Lei do Sigilo Bancário
aponta para o consentimento expresso. Assim, caso o titu-
lar das informações sigilosas consinta expressamente com o
compartilhamento desses dados, não haverá descumprimento
normativo acerca do sigilo financeiro.
No âmbito da regulação bancária, a Resolução CMN
nº 2.835/01 estabeleceu que as instituições financeiras e de-
mais instituições autorizadas a funcionar pelo BC devem
fornecer a seus clientes, quando por esses solicitado, infor-
mações cadastrais a eles relativas, compreendendo: (i) os
dados do cliente; (ii) o saldo médio mensal mantido em con-
ta-corrente; (iii) o histórico das operações de empréstimo,
de financiamento e de arrendamento mercantil, contendo
a data da contratação, o valor transacionado e as datas de
vencimentos e dos respectivos pagamentos; e (iv) o saldo
médio mensal das aplicações financeiras e das demais mo-
dalidades de investimento mantidas na instituição ou por ela
administradas.
Cinco anos após a publicação da Resolução CMN nº
2.835/01, foi publicada a Resolução CMN nº 3.401/06, a qual
alterou a antiga norma, para determinar que as informações
cadastrais deveriam ser fornecidas a terceiros, desde que for-
malmente autorizado, caso a caso, pelo cliente.
104
Nota-se, assim, que o consentimento como base do

compartilhamento de dados financeiros tem esteio não so-
mente na Resolução Conjunta CMN/BC nº 01/2020, mas na
Lei do Sigilo Bancário, na Resolução CMN nº 2.835/01 e na
Resolução CMN nº 3.401/06.
Feita a análise do consentimento previsto pela Reso-
lução Conjunta CMN/BC nº 01/2020, passemos a analisar o
consentimento presente na LGPD.
Na LGPD, o consentimento vale enquanto perdurar a finali-
dade do tratamento informada ao titular ou até a revogação do con-
sentimento por ele, mas para além dessa diferença, existem outras.
Ainda que o Open Finance utilize o mesmo vocábulo
da LGPD e que a definição de consentimento no art. 5º, XII,
seja semelhante à presente na Resolução do Open Finance,
nos parece que as acepções são diversas. O consentimento
presente na LGPD se trata de base legal que autoriza o trata-
mento de dados pessoais (art. 7º, I) e dados pessoais sensíveis
(art. 11, I), enquanto o consentimento do Open Finance con-
siste em declaração de vontade para celebração de negócio
jurídico contratual.
A discrepância é evidente ao analisarmos o exemplo
da celebração de contrato para emissão de cartão de crédito.
Aqui, o consumidor manifestará a sua vontade em relação
aos termos do instrumento - em geral um contrato de adesão
-, mas a base legal para tratamento não será o consentimento,
e sim a execução do contrato, prevista no art. 7º, V da LGPD.
Inclusive, é perfeitamente possível que sejam realizados
tratamentos subsequentes pelas instituições receptoras, desde
que relacionados às finalidades informadas ao titular, dentro dos
parâmetros estabelecidos pela LGPD e havendo base legal que
fundamente tal tratamento. Por exemplo: a instituição poderá rea-
105
lizar o tratamento dos dados para prevenção à fraude e lavagem de

dinheiro tendo por base a obrigação legal/regulatória, bem como
poderá ofertar novos produtos e serviços, com fundamento na
base legal do legítimo interesse do controlador, desde que dispo-
nibilizado o opt-out.
Assim, podemos dizer que no contexto do Open Fi-
nance, o consentimento exigido é uma manifestação de von-
tade, dotada de natureza contratual, que se presta a autorizar
as operações de tratamento de dados pessoais subsequentes,
às quais a LGPD se aplica integralmente, mas não necessaria-
mente se aplica a base legal do consentimento.
Nesse sentido, importante destacar as “Diretrizes
06/2020 sobre a Integração da Segunda Diretiva de Serviços
de Pagamento (DSP2) e o GDPR”, elaboradas pelo European
Data Protection Board (EPDB) que se refere aos serviços do
PSIP, iniciadores de pagamento e PSIC.14 No documento, o
EPDB considerou que o “consentimento” a que se refere as
Diretrizes tem natureza de anuência contratual, ou seja, de ob-
tenção de acesso a dados pessoais com objetivo de tratá-los e
armazená-los para fins de prestação de serviços de pagamento.
Por fim, o EDPB conclui dispondo que o consenti-
mento previsto na DSP2 se difere do consentimento como
base legal para tratamento de dados pessoais, sendo em
verdade um requisito adicional de natureza contratual, em
linha com a autodeterminação informativa. Em outras pala-
vras, para que o prestador de serviços de pagamento possa
realizar seu trabalho, precisa da concordância do titular em
relação ao acesso a tais dados.
14
European Data Protection Board. Guidelines 06/2020 on the interplay of the
Second Payment Services Directive and the GDPR. Version 2.0. p 13-15. Dis-
ponível em: <https://edpb.europa.eu/sites/default/files/files/file1/edpb_guide-
lines_202006_psd2_afterpublicconsultation_en.pdf>. Acesso em 10.07.2022.
106
A fase 04 do Open Finance possibilita o comparti-

lhamento de dados de (a) conta de registro e controle; (b)
operações de câmbio; (c) serviços de credenciamento em ar-
ranjos de pagamento; (d) contas de depósito a prazo e outros
produtos com natureza de investimento; e (e) seguros. Nesse
cenário, o titular de uma conta pode manifestar o aceite para
compartilhamento de seus dados a outra instituição.
Da mesma forma, trata-se de manifestação de vontade
de natureza contratual que legitima o compartilhamento do
ponto de vista de requisição de dados pessoais a fim de que a
instituição detentora repasse os dados à instituição receptora.
A celeridade das transformações impulsionadas pela

tecnologia exige que a ciência jurídica esteja cada vez mais
atenta para a regulação de temas diversos. Nesse cenário, os
dados pessoais, como ativos centrais da Sociedade da Infor-
mação, em especial em meio ao contexto do Open Finance,
demandam a construção de um ecossistema seguro para os
titulares, sem perder a agilidade e eficiência necessária para a
garantia da competitividade no mercado financeiro.
Nesse tocante, há ainda um caminho longo a ser
percorrido. A LGPD suscitou grandes dúvidas do ponto de
vista prático, mas até o presente momento, diversos temas e
setores ainda não tiveram a oportunidade de serem analisados
pela ANPD, observada a imensidão do ponto de vista da apli-
cabilidade da lei. Com efeito, esperamos que o artigo tenha
contribuído de algum modo para a análise de questões em
aberto do ponto de vista de privacidade e proteção de dados
no contexto do Open Finance.
107
V. BIBLIOGRAFIA
BECKER, Daniel; BRUZZI, Eduardo; TORRES, Frede-

rico Boghossian; GONÇALVES, Aylton. DPO e DRC:
diálogo entre LGPD e Open Banking? Jota, 29.01.2022.
Disponível em: <https://www.jota.info/opiniao-e-analise/
colunas/regulacao-e-novas-tecnologias/dpo-drc-lgpd-open-
-banking-29012022> Acesso em 10.07.2022.
BIONI, Bruno Ricardo. Proteção de Dados Pessoais: a função e
os limites do consentimento. 2ª ed. Rio de Janeiro: Forense, 2020.
BRASIL. Projeto de Lei nº 53 de 2018. Disponível em: <ht-
tps://www25.senado.leg.br/web/atividade/materias/-/mate-
ria/133486> Acesso em: 10.07.2022.
COMPETITION AND MARKETS AUTHORITY (CMA). Re-
tail banking market investigation: Final report. Londres: CMA,
2016. Disponível em: <https://assets.publishing.service.gov.uk/
media/57ac9667e5274a0f6c00007a/retail-banking-market-in-
vestigation-full-final-report.pdf> . Acesso em: 14.07.2022.
COTS, Márcio; OLIVEIRA, Ricardo. Lei Geral de Proteção de
Dados Comentada, 3ª Ed., São Paulo: Thomson Reuters, 2019.
DELL’ARICCIA, Giovanni; FRIEDMAN, Ezra; MAR-
QUEZ, Robert. Adverse Selection as a Barrier to Entry in
the Banking Industry. The RAND Journal of Economics, v.
30, n. 3, p. 515–534, 1999. Disponível em: <www.jstor.org/
stable/2556061>. Acesso em: 13.07.2022.
EUR-LEX: ACESS TO EUROPEAN LAW. Document
31995L0046. Disponível em: <https://eur-lex.europa.eu/legal-
-content/PT/ALL/?uri=uriserv:OJ.L_.1995.281.01.0031.01.
POR>. Acesso em: 10.07.2022
108
EURO BANKING ASSOCIATION. Understanding the busi-

ness relevance of Open APIs and Open banking for banks. In-
formation Paper, EBA Working Group on Electronic Alterna-
tive Payments Version 1.0, [S.l.], may 2016. Disponível em:
<https://www.abe-eba.eu/media/azure/production/1522/bu-
siness-relevance-of-open-apis-and-open-banking-for-banks.
pdf> . Acesso em: 14.07.2022.
EUROPEAN DATA PROTECTION BOARD. Guidelines
06/2020 on the interplay of the Second Payment Services Di-
rective and the GDPR. Version 2.0. p 13-15. Disponível em:
<https://edpb.europa.eu/sites/default/files/files/file1/edpb_
guidelines_202006_psd2_afterpublicconsultation_en.pdf>.
Acesso em: 10.07.2022.
GOULDING, Steve; ABLEY, Richard. Relationship man-
agement in banking: principles and practice. New York, NY:
Kogan Page, 2018.
JOAQUIM, Gustavo; VAN DOORNIK, Bernardus; ORNE-
LAS, José Renato. Bank Competition,Cost of Credit and
Economic Activity: evidence from Brazil: Documento de tra-
balho 508. Brasília: Banco Central do Brasil, Departamento
de Pesquisa, 2019. Disponível em: <https://www.bcb.gov.br/
pec/wps/ingl/wps508.pdf> Acesso em: 14.07.2022.
PINHEIRO, Patricia Peck. Nova Lei Brasileira de Proteção
de Dados Pessoais (LGPD) e o impacto nas instituições pú-
blicas e privadas. v. 1000, ano 108. São Paulo: Revista dos
Tribunais, fev. 2019.
SCHWAB, Klaus. A quarta revolução industrial. Trad. Daniel
Moreira Miranda – São Paulo: Edipro, 2016.
109
O DIREITO PROCEDURAL DA LEI GERAL DE

PROTEÇÃO DE DADOS (“LGPD”)
Daniel T. Stivelberg1
I. INTRODUÇÃO
A Lei nº 13.709, de 14 de agosto de 2018, também de-

nominada de Lei Geral de Proteção de Dados (“LGPD”) encerra
em si normas de caráter procedimental, reconhecendo os limites
epistemológicos da norma jurídica estatal para a normatização
exaustiva do agir humano em suas complexas manifestações
hodiernas, como no caso da emergente economia e sociedade
intensivas em dados. O objetivo deste artigo é identificar as
oportunidades de aplicação do paradigma da proceduralização
na LGPD e as consequências jurídicas práticas decorrentes de
tal aplicação, a exemplo do regime de responsabilização dos
agentes de tratamento de dados decorrente do tratamento em
1
Daniel T. Stivelberg atua na área de Políticas Públicas, Privacidade e Vida Digital
do Nubank. Foi Encarregado de Proteção de Dados (DPO), Gerente de Relações
Governamentais e Secretário do Grupo Temático de Trabalho de Governança de
Dados e do Grupo de Ética e Conformidade da Brasscom, Associação das Em-
presas de Tecnologia da Informação e Comunicação (TIC) e de Tecnologias Digi-
tais. É mestrando em Direito Constitucional e Sociedade pelo IDP, Instituto Brasi-
leiro de Ensino, Desenvolvimento e Pesquisa, pesquisador voluntário do CEDIS,
Centro de Estudos de Direito, Internet e Sociedade, também no IDP, e Diretor
Acadêmico de Direito Digital do IEJA, Instituto de Estudos Jurídicos Aplicados.
O autor é especialista em Relações Internacionais pela UnB, Universidade de
Brasília, e em Direito Constitucional pelo nominado IDP. Possui bacharelado em
Direito pela FDC, Faculdade de Direito de Curitiba, e em Relações Internacionais
pelo Unicuritiba. É advogado regularmente inscrito na OAB/PR 49.222.
110
desconformidade com a lei, as obrigações jurídicas dos agentes

de tratamento de dados e a valorização de regras de boas práticas
e de governança no tratamento de dados pessoais.
A relevância deste tema centra-se na crescente preo-
cupação social em torno de temas de privacidade, mas, além
disso, também decorre da tendência global pela adoção de
normas que disciplinem a conduta dos agentes sociais naqui-
lo que vem sendo denominada de “infosfera”. Normas pro-
cedimentais têm sido discutidas em diversos âmbitos, como
aquelas que visam regulamentar o desenvolvimento, uso e
aplicação de sistemas de inteligência artificial; normas que
moldam a forma como sistemas de tecnologia da informa-
ção devem ser concebidos; diretrizes quanto à moderação de
conteúdo produzido por terceiros em plataformas digitais; ou
mesmo regras que buscam disciplinar as relações econômi-
cas em ambientes digitais. Todo esse arcabouço normativo
carrega em si limites os quais, inexoravelmente, deverão ser
preenchidos por decisões oficiais ou sociais posteriores em
sede de regulamentação e autorregulação, respectivamente,
numa cooperação virtuosamente estimulada pela lei.
A judicialização da “complexidade contemporânea”
(ABBOUD, 2021, p. 496) tem imposto à jurisdição, especial-
mente a constitucional, o crescente desafio de se manifestar
em questões de fronteira. Exemplo interessante é a discussão
no RE nº 1.037.396/SP, no qual o STF deverá se pronunciar
a respeito da constitucionalidade do artigo 19 do Marco Ci-
vil da Internet, que cuida da responsabilidade civil dos inter-
mediários de internet. Há, ainda, o caso da Ação Direta de
Constitucionalidade (“ADC”) nº 51, na qual a Suprema Corte
avalia a constitucionalidade do Decreto 3.810, de 2001, que
promulgou o MLAT, o acordo de assistência judiciária em
matéria penal entre Brasil e Estados Unidos. Em ambos os
111
casos, o STF deverá servir-se de uma leitura especializada

a respeito de institutos tradicionalmente debatidos pela dou-
trina e pela jurisprudência, como é o caso do fenômeno da
eficácia horizontal dos direitos fundamentais e a re-territoria-
lização da jurisdição estatal (MENDES e OLIVEIRA FER-
NANDES, 2021).
O presente artigo utiliza como método a análise de
dispositivos específicos da LGPD, correlacionando-os com a
dogmática jurídica sobre direito procedural, especialmente a
que é apresentada pelo professor Georges Abboud na tercei-
ra parte de seu livro “Direito Constitucional Pós-Moderno”
(2021). A visão é complementada com bibliografias e artigos
científicos que, na visão deste autor, sustentam o caráter pro-
cedural da lei ora analisada. No transcurso do artigo, apresen-
to alguns exemplos de procedimentos que emanam por força
da lei, e como eles corroboram com a noção de complexidade
e limites epistemológicos do direito, fazendo emergir a plena
justificativa social para o caráter procedural do direito da pro-
teção de dados pessoais no Brasil.
II. O ACOPLAMENTO PARADIGMÁTICO: DECISÃO

E PROCEDURALIZAÇÃO
A hermenêutica judicial possui limites para auxiliar os

juízes no exercício do poder de julgar. Se a degeneração do direito
pode ser operada, de forma mais contundente, por decisões judiciais
sem limites (ABBOUD, 2021, p. 201), como será conter a jurisdi-
ção nos limites da legalidade, e, ao mesmo tempo, prosseguir com
a prestação jurisdicional para demandas sociais crescentemente
complexas? É em resposta a esse desafio que o direito procedural é
concebido, na condição de paradigma complementar ao paradigma
da decisão como forma de se evitar o “sequestro da complexidade
contemporânea” pelo simplismo do código lícito/ilícito.
112
É justamente a ascensão da “sociedade algorítmica”

(POLLICINO, 2021, p. 17) que reforça a importância dessa
mudança paradigmática. O poder público, destarte, passa a
ser chamado a exercer sua responsabilidade de asseguração
de direitos e garantias fundamentais em ambientes comple-
tamente estranhos à sua atuação, longe de sua capacidade
cognitiva, e, assim, tem-se a emergência de novos direitos
substantivos e procedimentais, informados por valores cons-
titucionais, para a promoção de uma abordagem que garanta a
não sujeição da humanidade a sistemas tecnológicos imunes
de mecanismos de mitigação. No que concerne à infosfera, o
desafio para essa garantia de asseguração de direitos funda-
mentais, exercida pelo Estado, reside justamente na produção
ou modificação do direito “de tal maneira que possibilite e
estimule a boa governança digital”, e, igualmente, propiciar
regulações abertas para inovações de modo a não inibir “as
oportunidades associadas à digitalização” (HOFFMANN-
-RIEM, 2019, p. 18 e 26).
A sociedade da informação, fragmentada em sistemas
autônomos e heterárquicos, reclama por uma produção norma-
tiva e por um exercício da jurisdição que estabeleçam pontes de
diálogo contínuo com a sociedade, sob pena de uma obsolescên-
cia normativa célere e do aprofundamento do problema da efe-
tividade do provimento jurisdicional. De acordo com Abboud:
Nem a racionalidade formal e nem a ma-

terial podem socorrer o Estado e o di-
reito, uma vez que o grande desafio é a
implementação e proteção de direitos em
âmbitos inacessíveis ao Estado, do ponto
de vista cognitivo. O Estado procedural é
aquele que preserva e incorpora elemen-
tos de auto-organização próprios do setor
113
privado, sem abrir mão completamente

da estruturação de interesses públicos,
ainda que por via indireta. É um modelo
em que o Estado, ciente de que não pos-
sui conhecimento necessário para toma-
da de decisão/regulação, cria forma de
gerá-lo e revisá-lo no âmbito do direito
regulatório estatal, emprestando o know-
-how produzido na sociedade. Cuida-se
de um paradigma de regulação reflexiva,
adaptável, em que a observação e a in-
corporação de modelos de auto-organiza-
ção da sociedade ganham preponderância
(Ibidem, p. 661).
No que concerne à LGPD, o processo de auto-or-

ganização social é constantemente valorizado e legitima-
do. Permeada de dispositivos de “textura aberta”, a Lei
também remete constantemente ao regulador o processo
de conclusão normativo, abrindo espaço para a regulação
dialogada, em reconhecimento aos limites cognitivos do
legislador em exaurir as condutas humanas nos preceitos
materiais da lei. “O legislador não tem como ter conheci-
mento sobre todas as combinações possíveis de circuns-
tâncias que o futuro pode trazer”, como disse Hart (2009,
p. 167). Assim, parte do arcabouço da legislação de pro-
teção de dados é, de forma intencional, uma escolha que
“reconhece a incapacidade humana de prever o futuro”,
com um chamado às decisões oficiais a posteriori, espe-
cialmente por falarmos de normas sobre tecnologia.
114
III. RESPONSABILIDADE CIVIL PROCEDURALIZADA
De acordo com a LGPD, em seu artigo 6º, inciso X2,

as atividades de tratamento de dados pessoais deverão obser-
var a boa-fé e, dentre outros princípios, o princípio da respon-
sabilização e prestação de contas (accountability), que se dá
por meio de demonstrações, pelo agente, da adoção de me-
didas eficazes e capazes de comprovar a observância e o
cumprimento das normas de proteção de dados pessoais e,
inclusive, da eficácia dessas medidas. A lei, portanto, exige
dos agentes de tratamento a criação de evidências positivas
de conformidade, impingindo a essa conduta uma valoração
jurídica que possui reflexos por todo o mapa normativo de
proteção de dados pessoais.
A atribuição de valor jurídico às condutas – que tam-
bém denominamos de procedimentos – de processamento de
dados pessoais é um reconhecimento do legislador acerca da ne-
cessidade de criação de rastros e evidências que possibilitem à
sociedade a aferição da qualidade das iniciativas empreendidas
por uma dada organização na promoção e proteção dos valores
e fundamentos sob tutela da LGPD, tendo como os mais citados
a autodeterminação informativa dos titulares dos dados pessoais
e o respeito à privacidade no transcurso das atividades de trata-
mento de dados. Ressaltamos, ainda, que esse direito procedural
também serve para, em equilíbrio, prover ferramental ao agente
de tratamento de dados para que persiga, de forma legítima, o
2
Lei nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados
– “LGPD”): “Art. 6º As atividades de tratamento de dados pessoais deve-
rão observar a boa-fé e os seguintes princípios: (...) X – responsabilização e
prestação de contas: demonstração, pelo agente, da adoção de medidas efi-
cazes e capazes de comprovar a observância e o cumprimento das normas
de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.”
115
desenvolvimento econômico, tecnológico e a inovação. Reside

aqui o equilíbrio permanente entre as normas de asseguração de
direitos fundamentais e a busca por uma legislação e regulação
que possibilitem e incentivem a inovação tecnológica.
O reflexo da aplicação desse princípio da responsabi-
lização e prestação de contas aparece no caput do artigo 42 da
LGPD3, que cuida sobre a responsabilidade e do ressarcimento de
danos. De acordo com esse dispositivo, o controlador ou o ope-
rador que, em razão do exercício de atividade de tratamento de
dados pessoais, causar a outrem dano patrimonial, moral, indivi-
dual ou coletivo, em violação à legislação de proteção de dados
pessoais, é obrigado a repará-lo. Trata-se de um regime de respon-
sabilidade civil com funções de “prevenção e dissuasão” (BODIN
DE MORAES e outro, 2019, p. 113), vinculando a responsabiliza-
ção da LGPD às noções, cumulativamente verificadas de: o dano
(violação de privacidade), a violação da legislação de proteção de
dados e a reparação. Destarte, a responsabilidade subjetiva pare-
ce ter sido a opção efetuada pelo legislador, na medida em que é
preciso identificar o descumprimento da violação da lei para fazer
emergir a responsabilidade do agente de tratamento de dados para
o ressarcimento do dano pelo tratamento em desconformidade.
A qualificação da conduta do agente de tratamento rea-
parece já no § 1º, inciso I, do mesmo artigo 42, que determina que
o operador responderá solidariamente pelos danos causados pelo
tratamento quando descumprir as obrigações da legislação de
proteção de dados ou quando não tiver seguido as instruções
lícitas do controlador4. Na mesma linha, seguem as excludentes
3
LGPD: “Art. 42. O controlador ou o operador que, em razão do exercí-
cio de atividade de tratamento de dados pessoais, causar a outrem dano
patrimonial, moral, individual ou coletivo, em violação à legislação de
proteção de dados pessoais, é obrigado a repará-lo.”
4
LGPD: “Art. 42 (...) § 1º A fim de assegurar a efetiva indenização ao titular dos da-
116
de responsabilidades estatuídas pelo artigo 43 da LGPD5, estabe-

lecendo que os agentes de tratamento não serão responsabilizados
quando provarem que, embora tenham realizado o tratamento de
dados que lhes é atribuído, não houve violação à legislação de
proteção de dados, dentre outras hipóteses. Mais adiante, o artigo
44 preconiza que o tratamento de dados pessoais será irregular
quando deixar de observar a legislação ou quando não forne-
cer a segurança que o titular dele pode esperar6, respondendo
por danos decorrentes de violação de segurança o agente que dei-
xar de adotar as medidas de segurança previstas no art. 46 da
LGPD, como veremos adiante.
O caráter procedural da LGPD tem origem no ar-
tigo 82(1) do Regulamento Geral de Proteção de Dados na
União Europeia (“GDPR”, na sigla em inglês), que estabe-
lece que qualquer pessoa que tenha sofrido danos materiais
ou imateriais como decorrência do descumprimento da
Regulação terá o direito à reparação do controlador ou do
dos: I – o operador responde solidariamente pelos danos causados pelo tratamento

quando descumprir as obrigações da legislação de proteção de dados ou quando não
tiver seguido as instruções lícitas do controlador, hipótese em que o operador equi-
para-se ao controlador, salvo nos casos de exclusão previstos no art. 43 desta Lei.”
5
LGPD: “Art. 43. Os agentes de tratamento só não serão responsabiliza-
dos quando provarem: (...) II – que, embora tenham realizado o tratamen-
to de dados pessoais que lhes é atribuído, não houve violação à legislação
de proteção de dados; (...).”
6
LGPD: “Art. 44.O tratamento de dados pessoais será irregular quando
deixar de observar a legislação ou quando não fornecer a segurança que o
titular dele pode esperar, consideradas as circunstâncias relevantes, entre
as quais: I - o modo pelo qual é realizado; II - o resultado e os riscos que
razoavelmente dele se esperam; III - as técnicas de tratamento de dados
pessoais disponíveis à época em que foi realizado. Parágrafo único. Res-
ponde pelos danos decorrentes da violação da segurança dos dados o con-
trolador ou o operador que, ao deixar de adotar as medidas de segurança
previstas no art. 46 desta Lei, der causa ao dano.”
117
operador pelos danos que tenha suportado7. Um exemplo

(CORDEIRO, A. B. M., 2019, p. 498) seria quando um ter-
ceiro consegue acesso de forma ilegal à base de dados do
controlador, mas fica demonstrado que todas as regras
de segurança estabelecidas no GDPR (art. 32) estavam
sendo observadas.
Portanto, a jurisdição ao avaliar a conduta do
agente de tratamento de dados em processos de responsabi-
lização por danos decorrentes de tratamento de dados pes-
soais, precisará, na forma da lei, evidenciar a não adoção
de medidas de observância para o cumprimento das normas
de proteção de dados. Não apenas isso, é preciso verificar a
efetividade (eficácia) das medidas na promoção dos objeti-
vos e fundamentos da LGPD. Elementos, então, que devem
integrar o fundamento da decisão jurisdicional que even-
tualmente venha a determinar a culpabilidade de um agente
de tratamento de dados pelos danos causados pelo trata-
mento em desconformidade. É preocupante que, no âmbito
de relações de consumo, a LGPD inverta essa lógica, pois
desvaloriza as iniciativas de acautelamento que venham a
ser adotadas. Mas isso deve ser objeto de futuras investiga-
ções, eis que nosso foco é o regime geral.
Abaixo, apresentaremos algumas das obrigações
procedimentais dos agentes de tratamento de dados, im-
postas pela LGPD, e que devem ser objeto do escrutínio da
jurisdição em casos de avaliação de conformidade.
7
Regulação nº 2016/679, General Data Protection Regulation
(“GDPR”): “Art. 82(1): Any person who has suffered material or non-ma-
terial damage as a result of an infringement of this Regulation shall have
the right to receive compensation from the controller or processor for the
damage suffered.”
118
1. PROCEDURALIZAÇÃO DAS OBRIGAÇÕES DOS

AGENTES DE TRATAMENTO DE DADOS
De acordo com o artigo 6º da LGPD, as atividades

de tratamento de dados pessoais deverão observar a boa-fé
e, dentre outros, os princípios da finalidade, adequação e
necessidade. Assim, ao agente de tratamento deve coletar
e tratar dados pessoais no Brasil perseguindo propósitos
legítimos, específicos, explícitos e informados ao titular,
sem possibilidade de tratamento posterior de forma incom-
patível com as finalidades informadas (art. 6º, I)8; deve,
igualmente, tratar os dados pessoais de forma compatível
com as finalidades declinadas ao titular, de acordo com o
contexto do tratamento (art. 6º, II)9; e limitar o tratamento
dos dados ao mínimo necessário para a consecução das fi-
nalidades, abrangendo o uso dos dados que são pertinentes
e proporcionais, não excessivos em relação aos propósitos
do tratamento (art. 6º, III)10. Esses três princípios gerais de
tratamento de dados pessoais residem no topo da cadeia
obrigacional dos agentes de tratamento e deles emanam, em
encadeamento lógico, toda avaliação procedural das condu-
tas dos agentes de tratamento.
8
LGPD: “Art. 6º As atividades de tratamento de dados pessoais deverão
observar a boa-fé e os seguintes princípios: I – finalidade: realização do
tratamento para propósitos legítimos, específicos, explícitos e informados
ao titular, sem possibilidade de tratamento posterior de forma incompatí-
vel com essas finalidades; (...)”.
9
LGPD: “Art. 6º (...) II – adequação: compatibilidade do tratamento com as fi-
nalidades informadas ao titular, de acordo com o contexto do tratamento; (...)”.
10
LGPD: “Art. 6º (…) III – necessidade: limitação do tratamento ao míni-
mo necessário para a realização de suas finalidades, com abrangência dos
dados pertinentes, proporcionais e não excessivos em relação às finalida-
des do tratamento de dados; (…)”.
119
Destarte, ao erigir uma governança de tratamento de

dados, o estabelecimento da finalidade do tratamento é condição
fundante da capacidade do agente para exercer os juízos de ne-
cessidade e adequação. Somente a plena e adequada delimitação
da finalidade poderá habilitar o agente a ponderar sobre quais
dados são de fato necessários para a persecução dos objetivos
de tratamento e se este é compatível para o atingimento dos pro-
pósitos. Essa avaliação deve ser feita a partir do contexto, esco-
po e a natureza do tratamento de dados pessoais. Dessa forma,
é esperado de uma instituição educacional que o tratamento de
dados pessoais sirva a atingir propósitos como a promoção do
conhecimento, a melhoria das faculdades críticas do intelecto, a
descoberta e o cultivo do talento, o desenvolvimento do caráter,
da disciplina social e da cidadania. Qualquer tratamento de da-
dos que viole a integridade de contexto (NISSENBAUM, 2010,
p. 170) e as legítimas expectativas dos titulares dos dados deverá
ser objeto amplo e bem construído ônus argumentativo por parte
do agente de tratamento, além da adoção das devidas medidas
de mitigação e salvaguardas. Todas essas “evidências positivas”
precisam estar disponíveis e cognoscíveis ao escrutínio social,
como parte das “medidas” de conformidade.
Outros dois incisos, relevantes para a argumentação
aqui encetada, são os de número VIII11 e X, que, respectivamen-
te, tratam sobre a prevenção e a responsabilização e prestação de
contas (accountability) – este último aqui retomado sob a pers-
pectiva da proceduralização da segurança da informação dos da-
dos pessoais, conforme será visto mais adiante. No que concerne
ao princípio da prevenção, a LGPD estatui que o agente de trata-
mento deve adotar medidas para prevenir a ocorrência de danos
em virtude do tratamento de dados pessoais.
LGPD: “Art. 6º (...) VIII – prevenção: adoção de medidas para prevenir

11
a ocorrência de danos em virtude do tratamento de dados pessoais; (...)”.
120
Mais adiante, no artigo 7º da LGPD12, a lei traz os requi-

sitos para o tratamento de dados pessoais no Brasil. Trata-se, na
prática, de um conjunto de hipóteses autorizantes do tratamento
de dados, também denominadas de bases legais, que são obrigató-
rias aos agentes. Assim, o tratamento de dados pessoais somente
poderá ser realizado, por exemplo, mediante o fornecimento de
consentimento pelo titular. ou para o cumprimento de obrigação
legal ou regulatória pelo controlador, ou, no caso da administra-
ção pública, para o tratamento de dados necessários à execução de
políticas públicas previstas em leis e regulamentos ou respaldadas
em contratos, convênios ou instrumentos congêneres. É possível,
ainda, o tratamento de dados pessoais quando necessário para a
execução de contrato do qual seja parte o titular e a seu pedido,
para a proteção da vida ou da incolumidade física do titular ou
de terceiro, para a proteção do crédito, ou quando necessário para
atender aos interesses legítimos do controlador ou de terceiro. As
12
LGPD: “Art. 7º O tratamento de dados pessoais somente poderá ser reali-
zado nas seguintes hipóteses: I - mediante o fornecimento de consentimento
pelo titular; II - para o cumprimento de obrigação legal ou regulatória pelo
controlador; III - pela administração pública, para o tratamento e uso com-
partilhado de dados necessários à execução de políticas públicas previstas
em leis e regulamentos ou respaldadas em contratos, convênios ou instru-
mentos congêneres, observadas as disposições do Capítulo IV desta Lei;
V - quando necessário para a execução de contrato ou de procedimentos
preliminares relacionados a contrato do qual seja parte o titular, a pedido
do titular dos dados; VI - para o exercício regular de direitos em processo
judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307,
de 23 de setembro de 1996 (Lei de Arbitragem); VII - para a proteção da
vida ou da incolumidade física do titular ou de terceiro; VIII - para a tutela
da saúde, exclusivamente, em procedimento realizado por profissionais de
saúde, serviços de saúde ou autoridade sanitária; IX - quando necessário
para atender aos interesses legítimos do controlador ou de terceiro, exceto
no caso de prevalecerem direitos e liberdades fundamentais do titular que
exijam a proteção dos dados pessoais; ou X - para a proteção do crédito,
inclusive quanto ao disposto na legislação pertinente. (...)”.
121
bases legais não detêm prevalência de uma sobre as outras. De-

vendo o agente de tratamento, na sua fixação para uma dada linha
de tratamento de dados, optar por apenas uma, conforme orientam
as melhores práticas e levando em conta o contexto, o escopo e a
natureza do tratamento do dado pessoal.
A LGPD fornece elementos básicos constitutivos
para a adoção de procedimentos como os relatórios de im-
pacto à proteção de dados pessoais (“RIPD”), as medidas téc-
nicas e administrativas de segurança da informação e noções
principiológicas para a aplicação da base legal do legítimo
interesse (“ALI”) do controlador ou de terceiro.
A origem procedural do RIPD, por exemplo, é
evidenciada na Guidelines on DPIA 248, produzida pelo
Article 29 Working Party (WP 29), que veio a ser pos-
teriormente substituído pela European Data Protection
Board (EDPB). De acordo com o documento orientativo, o
DIPIA (sigla em inglês para Data Protection Impact Asses-
sment, ou RIPD no direito brasileiro) é um procedimento
instituído pelo artigo 35 GDPR13 que deve descrever a
atividade de tratamento, avaliar sua necessidade e pro-
porcionalidade e apoiar na gestão dos riscos a direitos e
liberdades das pessoas naturais que resultem do tratamen-
to de seus dados. Esse tratamento deve avaliar os riscos
e determinar as medidas para mitigá-los. O WP 29 segue
qualificando o DPIA como uma ferramenta de demonstra-
ção de responsabilidade e forjada para prestação de contas
13
GDPR: “Art. 35(1). Where a type of processing in particular using new
technologies, and taking into account the nature, scope, context and pur-
poses of the processing, is likely to result in a high risk to the rights and
freedoms of natural persons, the controller shall, prior to the processing,
carry out an assessment of the impact of the envisaged processing opera-
tions on the protection of personal data. (…)”.
122
a respeito da conformidade do agente de tratamento com as

previsões estabelecidas pelo GDPR14.
De acordo com a LGPD, em seu art. 5º, XVII, o relató-
rio de impacto à proteção de dados pessoais é a documentação do
controlador que contém a descrição dos processos de tratamento
de dados pessoais que podem gerar riscos às liberdades civis e
aos direitos fundamentais, bem como medidas, salvaguardas e
mecanismos de mitigação de risco. O RIPD, portanto, é uma fer-
ramenta de apoio na tomada de decisão do agente de tratamento
que, no transcurso da avaliação de riscos, deve levar em conta,
acima de tudo, os interesses dos titulares dos dados pessoais, e
não somente os riscos para a organização. Existem diversas me-
todologias e matrizes de risco para elaboração do RIPD. Mas,
em síntese, para o atendimento da legislação, o RIPD deve con-
tar, no mínimo: (i) a identificação dos agentes de tratamento e
do encarregado; (ii) a necessidade de se elaborar o Relatório;
(iii) a descrição do tratamento dos dados pessoais, descrevendo
sua natureza, a categoria e os tipos de dados pessoais tratados,
o contexto e a finalidade; (iv) as partes interessadas (se possível
dialogando com a comunidade impactada); (v) a avaliação da
necessidade e da proporcionalidade, apontando-se a base legal;
e (vi) a identificação e avaliação de riscos. A Autoridade Nacio-
nal de Proteção de Dados (“ANPD”) ainda não regulamentou os
detalhes sobre o Relatório de Impacto, nem as hipóteses manda-
tórias para a sua elaboração.
Mais adiante, no artigo 46, a LGPD determina que os
14
“Article 35 of the GDPR introduces the concept of a DPIA, which is a process
designed to describe the processing, assess its necessity and proportionality and
help manage the risks to the rights and freedoms of natural persons resulting
from the processing of personal data by assessing them and determining the
measures to address them. It’s a tool for accountability and to comply with
requirements of the GDPR, demonstrating the appropriate measures taken to
ensure compliance (p. 04). It is a process for building and demonstrating com-
pliance.” (Guidelines on DPIA. Adopted on October 2017. Article 29, DPWP).
123
agentes de tratamento devem adotar medidas de segurança,

técnicas e administrativas aptas a proteger os dados pes-
soais de acessos não autorizados e de situações acidentais ou
ilícitas de destruição, perda, alteração, comunicação ou qual-
quer forma de tratamento inadequado ou ilícito. A norma legal
deixa espaço para a adoção de padrões de segurança reconhe-
cidos no mercado, evitando fixação ex ante de quais medidas
técnicas e de segurança devem ser empregadas pelo agente de
tratamento e quais de fato estariam aptas e evitar a violação das
informações. Essa abertura é compatível com o direito proce-
dural, permitindo aos tomadores de decisão o exercício de seu
discernimento com base no caso concreto e na razoabilidade da
situação fática, forjando políticas públicas ex post.
Ao reclamar pela adoção de padrões e a sua capa-
cidade de assegurar a segurança das informações, a norma
molda o processo fiscalizatório, tanto do lado dos agentes
de tratamento, quando do lado dos agentes públicos incum-
bidos da fiscalização e da tomada de decisão, impondo, es-
pecialmente a estes, a necessidade de articulação de suas
escolhas e decisões, buscando dar visibilidade e responsabi-
lidade ao processo de sopesamento quanto às conclusões em
torno da efetividade das medidas (CITRON, 2008, p. 1301-
1302). Evidência disso, é o comando contido no § 1º do art.
46 da LGPD, que autoriza a ANPD a dispor sobre os pa-
drões técnicos mínimos, “considerados a natureza das infor-
mações tratadas, as características específicas do tratamento
e o estado atual da tecnologia (...)”. O agente de tratamento,
portanto, poderá adotar padrões como o ISO 27001 e 27701,
ou a Estrutura de Cibersegurança e de Privacidade do NIST,
dentre tantos outros.
A LGPD valoriza a adoção da privacidade por de-
sign (Privacy by Design), conceito que abrange não apenas
124
o produto em si, mas também o processo organizacional. De

acordo com a Lei, as medidas de segurança devem ser obser-
vadas desde a fase de concepção do produto ou do serviço até
a sua execução (art. 46, § 2º). Para Ann Cavoukian (2011), o
conceito de privacidade por design é uma visão que reconhe-
ce que o futuro da privacidade não pode ser garantido apenas
por intermédio da conformidade regulatória, mas também é
de incumbência do agente de tratamento adotar medidas de
asseguração de privacidade como meio padrão de constitui-
ção da organização. A ideia de “proteção de sistemas” (sys-
temshutz) refere-se, assim, à proteção da TI pela imposição
de regras de incumbência para a proteção de funcionalidades
de sistemas de tecnologia contra intervenções ilegítimas, seja
do Estado ou de terceiros privados. “Quanto mais importante
para o bem-estar individual e coletivo forem as tecnologias
digitais, mais intensamente deve ser ativada a tarefa estatal
de asseguração” (HOFFMANN-RIEM, p. 21).
O artigo 7º, inciso IX da LGPD autoriza o tratamento
de dados pessoais quando necessário para o atendimento de in-
teresses legítimos do controlador ou de terceiro, exceto no caso
de prevalecerem direitos e liberdades fundamentais do titular
que exijam a proteção dos dados pessoais. O artigo 10, por seu
turno, estabelece que o legítimo interesse somente pode funda-
mentar tratamento de dados pessoais para finalidades legítimas,
consideradas a partir de situações concretas, que incluem, mas
não se limitam a apoio e promoção de atividades do controlador
e a proteção, em relação ao titular, do exercício regular de seus
direitos ou prestação de serviços que o beneficiem, respeitadas
as legítimas expectativas dele e os direitos e liberdades funda-
mentais. Da dicção da norma, afluem requisitos para adoção de
procedimentos específicos por parte do agente de tratamento,
impondo-lhe a incumbência de exercer verdadeiro ônus argu-
mentativo que justifique a adoção da base legal do legítimo inte-
125
resse. Denominamos esse procedimento de Relatório de Aplica-

ção do Legítimo Interesse (“RALI”), que também é conhecido
no mercado como Legitmate Interest Assessment (“LIA”) ou
“Teste do Legítimo Interesse”.
A moldura normativa estabelece como requisitos pro-
cedurais (i) a avaliação da finalidade, que deve ser legítima,
ou seja, o agente de tratamento deve identificar o propósito do
tratamento dos dados pessoais, definir a legitimidade do propó-
sito do tratamento, a situação concreta específica e realizar per-
guntas, tais como sobre o porquê e os benefícios da atividade e
quais as consequências da sua não realização; (ii) em seguida,
o agente de tratamento deve produzir o teste de necessidade
e de proporcionalidade, quais sejam, considerar a efetiva ne-
cessidade do tratamento desejado para a persecução da fina-
lidade estabelecida, avaliar a proporcionalidade da atividade
de tratamento, a saber, se ela é compatível para o atingimento
da finalidade, considerar se a finalidade pode ser atingida pelo
emprego de uma menor quantidade de dados pessoais e tam-
bém se existe uma forma de tratamento menos intrusiva; (iii)
e, por fim, apontar as medidas de mitigação a serem adotadas,
considerando as legítimas expectativas dos titulares dos dados
pessoais, o impacto do tratamento para direitos e liberdades
fundamentais, a natureza e a categoria dos dados pessoais que
serão tratados e as medidas de mitigação a serem empregadas
e sua efetividade para reduzir riscos.
As normas públicas de asseguração, estabelecidas na
LGPD, impõem aos agentes de tratamento de dados a adoção
de diversos procedimentos organizacionais, administrativos,
técnicos e de segurança para levarem adiante sua atividade
de tratamento de dados pessoais. As normas de textura aberta
permitem aos tomadores de decisão, públicos ou privados, a
adoção de procedimentos pertinentes para a promoção dos
126
valores da Lei. É o que vimos acima a partir da leitura de

excertos da legislação que cuidam dos requisitos procedurais
para a elaboração do Relatório de Impacto à Proteção de Da-
dos (RIPD), as medidas de segurança da informação e o Re-
latório de Aplicação do Legítimo Interesse (RALI).
2. AS BOAS PRÁTICAS E A GOVERNANÇA

PROCEDURALIZADAS
Wolfgang Hoffmann-Riem diz que a área de TI não é

um espaço livre de regras, pois, além das normas “estatais espe-
cíficas e do ordenamento jurídico como um todo, há formas de
regulação e regulamentação privadas” (2019, p. 31). Falando
sob a perspectiva do sistema de proteção de dados Europeu, o
mencionado autor ressalta que o GDPR incentiva associações
e entidades de caráter coletivo, privadas e do terceiro setor, a
elaborarem regras de comportamento que complementem as
disposições de caráter público. Trata-se da autorregulação so-
cial regulada pelo Estado, segundo a qual entes estatais con-
fiam nas medidas produzidas de forma autônoma pelos atores
sociais, exercendo, contudo, “influência por meio de estímulos
previstos em normas jurídicas ou por meio de regulação, orien-
tando, assim, os atores sociais a perseguirem determinados ob-
jetivos e finalidades referentes ao bem comum” (Idem, p. 33).
A LGPD, igualmente, incentiva e acolhe a adoção de
governanças e autorregulações promovidas por atores sociais
em diversos de seus excertos. Destarte, vemos no artigo 49,
caput15, a obrigação de que sistemas usados para tratamento de
LGPD: “Art. 49. Os sistemas utilizados para o tratamento de dados

15
pessoais devem ser estruturados de forma a atender aos requisitos de se-

gurança, aos padrões de boas práticas e de governança e aos princípios
gerais previstos nesta Lei e às demais normas regulamentares.”
127
dados pessoais estejam estruturados de forma a atender a pa-

drões de governança. Em relação a isso, o artigo 50 da LGPD
é o sustentáculo do sistema de autorregulação no tratamento de
dados pessoais na medida em que determina que os controlado-
res e operadores, no âmbito de suas competências, individual-
mente ou por meio de associações, poderão formular regras de
boas práticas e de governança que estabeleçam as condições
de organização, o regime de funcionamento, os procedimen-
tos, incluindo reclamações e petições de titulares, as normas de
segurança, os padrões técnicos, as obrigações específicas para
os diversos envolvidos no tratamento, as ações educativas, os
mecanismos internos de supervisão e de mitigação de riscos e
outros aspectos relacionados ao tratamento de dados pessoais.
O caráter procedural do artigo 50 fica ainda mais evi-
dente em seu § 2º, quando a norma define requisitos mínimos16
para implementação de programas de governança em privacidade,
que devem demonstrar, dentre outros: (i) o comprometimento do
16
LGPD: Art. 50, §2º: “Na aplicação dos princípios indicados nos incisos
VII e VIII do caput do art. 6º desta Lei, o controlador, observados a estru-
tura, a escala e o volume de suas operações, bem como a sensibilidade dos
dados tratados e a probabilidade e a gravidade dos danos para os titulares
dos dados, poderá: I - implementar programa de governança em privaci-
dade que, no mínimo: a) demonstre o comprometimento do controlador
em adotar processos e políticas internas que assegurem o cumprimento, de
forma abrangente, de normas e boas práticas relativas à proteção de dados
pessoais; (...) d) estabeleça políticas e salvaguardas adequadas com base
em processo de avaliação sistemática de impactos e riscos à privacidade;
(...) f) esteja integrado a sua estrutura geral de governança e estabeleça e
aplique mecanismos de supervisão internos e externos; g) conte com planos
de resposta a incidentes e remediação; e h) seja atualizado constantemente
com base em informações obtidas a partir de monitoramento contínuo e
avaliações periódicas; (...) II - demonstrar a efetividade de seu programa
de governança em privacidade quando apropriado e, em especial, a pedido
da autoridade nacional ou de outra entidade responsável por promover o
cumprimento de boas práticas ou códigos de conduta, os quais, de forma
independente, promovam o cumprimento desta Lei. (...).”.
128
agente de tratamento em adotar processos e políticas internas que

assegurem o cumprimento das normas e práticas de proteção de
dados; (ii) o estabelecimento de políticas e salvaguardas adequa-
das com base em processo de avaliação sistemática de impactos
e riscos à privacidade; (iii) a asseguração de mecanismos de par-
ticipação do titular; (iv) a integração de sua estrutura geral de go-
vernança, estabelecendo e aplicando mecanismos de supervisão
internos e externos; (v) a adoção de planos de resposta a inciden-
tes; e (vi) a atualização constantemente com base em informações
obtidas a partir de monitoramento contínuo e avaliações periódi-
cas. Além disso, a LGPD requer a demonstração da efetividade
do programa de governança, em especial quando tal for requerido
pela ANPD ou outra entidade pública competente.
A recém-publicada Resolução CD/ANPD nº 1, de
28 de outubro de 2021, que aprova o Regulamento do Proces-
so de Fiscalização e do Processo Administrativo Sancionador
no âmbito da Autoridade Nacional de Proteção de Dados es-
tabelece, em seu artigo 15, que a ANPD adotará atividades de
monitoramento, de orientação e de prevenção no processo de
fiscalização e poderá iniciar a atividade repressiva. De acordo
com a nominada Resolução a “atividade preventiva” consiste
na atuação que almeja promover a orientação, a conscientiza-
ção e a educação dos agentes de tratamento e dos titulares de
dados pessoais, enquanto a “atividade preventiva” consiste
na atuação baseada, preferencialmente, na construção con-
junta e dialogada de soluções e medidas que visem a recon-
duzir o agente de tratamento à plena conformidade ou a evitar
ou remediar situações que possam acarretar risco ou dano aos
titulares de dados pessoais e a outros agentes de tratamento.
O uso dos institutos da “atividade de orientação” e da
“atividade preventiva”, caracterizadores de uma atuação res-
ponsiva, serão fundamentais para a jornada de conformidade e
129
adequação das organizações, especialmente para a compreen-

são, pelos agentes de tratamento, a respeito das medidas pro-
cedimentais que são tidas pela ANPD como desejáveis, bem
como para sua avaliação de efetividade na promoção da cultura
de proteção de dados pessoais.
IV. CONCLUSÃO
A absorção da complexidade da economia e da so-

ciedade intensivas em dados será possível pelo reconheci-
mento do caráter procedural das normas que buscam moldar
o comportamento na infoesfera. Trata-se de exercício dialó-
gico e iterativo a ser desempenhado, com maior ênfase, por
legisladores, reguladores e operadores do Direito – especial-
mente em sede de exercício de jurisdição. A LGPD é per-
meada por normas de “textura aberta”, que reclamam ulte-
rior regulamentação ou decisão oficial de conformidade. Ao
estabelecer requisitos procedimentais, a Lei busca submeter
o agente de tratamento a uma contínua busca pela prestação
de contas e pelo exercício da cautela em suas atividades de
tratamento de dados.
O caráter procedural da LGPD impõe consequências
jurídicas importantes no regime de responsabilidade civil em
matéria de proteção de dados pessoais. A identificação do
ato de desconformidade procedimental que ensejou o dano
ao titular do dado pessoal passa a fazer parte do exame de
culpabilidade. Assim, as decisões de conformidade ou des-
conformidade para fins de responsabilização civil ou imposi-
ções de sanções administrativas devem levar em conta o grau
de aderência e efetividade dos procedimentos adotados pelos
agentes de tratamento – a exemplo das medidas técnicas e de
130
segurança da informação, da produção do RIPD e da aplica-

ção da base legal do legítimo interesse –, levando à conclusão
segundo a qual o legislador optou pelo regime de responsabi-
lidade subjetiva como a regra geral na LGPD.
A valorização dos guias de conduta, das boas práticas,
dos programas de governança e da autorregulação evidenciam
na LGPD a proceduralização do seu direito, permitindo “ele-
vado grau de qualidade epistêmica” aos tomadores de decisão,
seja via diálogo, acordo ou autorregulação. Espera-se, desta
forma, uma atuação responsiva por parte das autoridades com-
petentes de modo a preservar a natureza da nova lei e o acolhi-
mento de outras normas futuras de caráter procedural a serem
editadas, a exemplo daquelas que venham regulamentar o ciclo
de vida de sistemas de inteligência artificial.
V. REFERÊNCIAS BIBLIOGRÁFICAS
ABBOUD, Georges. Direito constitucional pós-moderno.

São Paulo: Thomson Reuters Brasil, 2021.
BODIN DE MORAES, Maria Celina; QUINELATO DE QUEI-

ROZ, João. Autodeterminação informativa e responsabilização
proativa: novos instrumentos de tutela da pessoa humana na
LGPD. In: Cadernos Adenauer XX (2019), nº 3. Proteção de dados
pessoais: privacidade versus avanço tecnológico. Rio de Janeiro:
Fundação Konrad Adenauer, outubro de 2019 (pp. 113-135).
CAVOUKIAN, Ann. Privacy by design – The 07 Founda-

tional Principles. Rev. Jan 2011. Information and Privacy
Commissioner of Ontario, Canada.
131
CITRON, Danielle Keats. Technological Due Process, 85 Wash-

ington University of Law. Rev. 1249 (2008). Disponível em ht-
tps://openscholarship.wustl.edu/law_lawreview/vol85/iss6/2.
CORDEIRO, A. B. Menezes. Civil Liability for processing of

personal data in the GDPR. European Data Protection Law
Review (EDPL), vol. 5, nº 4, 2019, p. 492-499. HeinOnline.
HART, H. L. A. O conceito de direito. Tradução: Antônio

de Oliveira Sette-Câmara. São Paulo: Editora WMF Martins
Fontes, 2009.
HOFFMANN-RIEM, Wolfgang. Inteligência Artificial como

oportunidade para a regulação jurídica. In: Proteção de Da-
dos e Inteligência Artificial: Perspectivas Éticas e Regula-
tórias. RDU, Porto Alegre, Volume 16, n. 90. 2019. 11-38,
nov-dez 2019.
MENDES, Gilmar Ferreira; OLIVEIRA FERNANDES, Vic-

tor. Constitucionalismo digital e jurisdição constitucional:
uma agenda de pesquisa para o caso brasileiro. Revista Bra-
sileira de Direito, Passo Fundo, v. 16, n. 1, p. 1-33, out. 2020.
ISSN 2238-0604. Disponível em: https://seer.imed.edu.br/
index.php/revistadedireito/article/view/4103.
NISSENBAUM, Helen. Privacy in context: technology, pol-

icy, and the integrity of social life. Stanford University Press,
Stanford, California, 2010.
POLLICINO, Oreste. Digital private powers exercising pub-

lic functions: the constitutional paradox in the digital age and
its possible solutions. In: Corte Europeia de Direitos Huma-
nos, 2021.
132
PARTICULARIDADES DOS CONDOMÍNIOS À LUZ

DA LEI GERAL DE PROTEÇÃO DE DADOS (LGPD)
Débora Leal Soares de Castro1

Talitha Dias Martins Leite2
I. A PROTEÇÃO DE DADOS E OS CONDOMÍNIOS NA

SEARA BRASILEIRA
Assim que publicada a Lei Geral de Proteção de

Dados Pessoais (LGPD), houve dúvidas quanto a aplica-
bilidade da legislação aos condomínios já que, embora
possuíssem CNPJ, eram considerados entes despersonali-
zados. Este entendimento, embora tenha sido modificado
posteriormente por meio de Enunciados da Jornada Civil
3
, foi alvo de muito debate e provocou grande incerteza a
época da publicação da legislação.
Outro ponto de debate era a aplicação da lei aos con-
domínios na hipótese de não incidência prevista no artigo 4º,
inciso I, da LGPD, que estabelece que não se submete à legis-
lação o tratamento de dados pessoais realizado por pessoa na-
tural para fins exclusivamente particulares e não econômicos.
O Regulamento Geral Europeu sobre Proteção de Dados Pes-
soais (GDRP), principal fonte inspiradora da legislação de proteção
de dados brasileira, em seu art. 4º, item 7 já indicava um conceito
mais amplo para definir a figura do controlador o que sugeria que
os condomínios estariam sujeitos a legislação de proteção de dados.
133
Finalmente esta problemática foi resolvida no Brasil pela

própria Autoridade Nacional de Proteção de Dados (ANPD) ao
indicar que mesmo os entes despersonalizados são considera-
dos agentes de tratamento de pequeno porte. É o que indica o
art. 2º, I da Resolução nº 2 de 27 de janeiro de 2022:
Art. 2º Para efeitos deste regulamento são
adotadas as seguintes definições:
I - agentes de tratamento de pequeno porte:

microempresas, empresas de pequeno porte,
startups, pessoas jurídicas de direito privado, in-
clusive sem fins lucrativos, nos termos da legis-
lação vigente, bem como pessoas naturais e en-
tes privativos despersonalizados que realizam
tratamento de dados pessoais, assumindo obri-
gações típicas de controlador ou de operador 4.
Assim, tornou-se inequívoca a aplicabilidade da

LGPD aos condomínios, muito embora este já fosse o en-
tendimento majoritário dos profissionais da privacidade e
proteção de dados principalmente quando se verifica o al-
cance do tratamento de dados e extensão do tratamento de
dados e abrangência das bases de dados dos condomínios.
II. O TRATAMENTO SEGURO DOS DADOS

PESSOAIS NOS CONDOMÍNIOS
Para exemplificar a imprescindibilidade da adequa-

ção dos condomínios à LGPD e a existência de regras cla-
ras quanto ao tratamento dos dados pessoais, tomemos como
exemplo alguns casos abaixo relatados.
4
RESOLUÇÃO CD/ANPD Nº 2, DE 27 DE JANEIRO DE 2022. Dis-
ponível em https://www.in.gov.br/en/web/dou/-/resolucao-cd/anpd-n-
-2-de-27-de-janeiro-de-2022-376562019 Acesso em: 01 de julho de 2022.
134
Vejamos o caso de um condomínio que, no caso de uma

briga de vizinhos, foi requerido por um destes moradores que
entregasse as imagens de determinado dia gravadas pelas câ-
meras de segurança com a finalidade de uso em processo que
move contra outro morador por danos morais e materiais. A
cópia destas imagens deve ser autorizada pelo síndico? E se
for só a visualização das imagens pelo morador, seria permi-
tido? E no caso de um outro condomínio em que a moradora
requereu à portaria o acesso aos dados do sistema de controle
de entrada e saída no condomínio para que pudesse verificar
uma possível infidelidade de seu companheiro?
Estas perguntas e situações refletem apenas algumas
das aplicações diárias da legislação de proteção de dados no
contexto de atuação dos condomínios e que se não forem de-
vidamente solucionadas podem trazer riscos e prejuízos des-
necessários ao síndico e ao próprio condomínio.
Mas quais os riscos que podem advir de uma não ade-
quação do condomínio? De maneira suscinta pode-se desta-
car algumas problemáticas como, por exemplo, o caso de uma
demanda de titulares de dados pessoais contra o condomínio
por infração à LGPD que pode implicar na responsabilização
do condomínio por danos materiais e morais advindos desta
infração e, também a responsabilização do síndico em uma
eventual ação de regresso proposta contra ele.
Embora os síndicos não sejam os responsáveis diretos
pelo tratamento seguro dos dados pessoais, como o é o Con-
domínio que exerce o papel de controlador de dados, este age
em nome do controlador e está passível de responsabiliza-
ção por ato culposo quando comprovada a sua negligência
na gestão do condomínio e principalmente no que se refere
às obrigações impostas pela LGPD e pela legislação civil 5.
MATUZAKI, Thais. Situações específicas em condomínios sujeitas

5
135
Outro ponto importante é a questão do relacionamento

do condomínio com os seus operadores de dados. Embora a
contratação de uma administradora seja uma prática comum
para auxiliar o síndico nas rotinas dos condomínios, é impor-
tante destacar que a responsabilidade no caso de infração à
LGPD é primordialmente do próprio condomínio e não das
administradoras. Nesta relação os condomínios assumiriam a
função de controlador de dados submetendo-se a todas as obri-
gações que a legislação impõe a estes agentes de tratamento6.
Assim, ainda que, no caso de uma infração à legislação
cometida pela administradora o condomínio possa ingressar
com uma ação de regresso contra esta, enquanto isso não
ocorrer, quem pagará a conta serão os próprios condôminos
através das finanças do condomínio.
Ainda no tema da responsabilização dos condomínios en-
quanto agindo como controladores de dados, temos que no trato
com terceirizados e fornecedores é o condomínio quem deve es-
tabelecer as regras a serem seguidas por estes agentes ao trata-
rem dados pessoais dos condôminos e isto se estabelece através
de um sistema de Due Diligence a fim de verificar o nível de
adequação de todos com quem compartilha dados incluindo a
adequação documental por meio de anexo ou aditivo contratual.
Não havendo uma orientação e imposição de regras
claras para os terceirizados e fornecedores por parte dos
condomínios, uma eventual ação de regresso proposta pelo
condomínio em face de qualquer destes terceiros poderá ficar
comprometida diante desta omissão.
à LGPD. Disponível em: <https://www.sindiconet.com.br/informese/

situacoes-especificas-em-condominios-sujeitas-a-lgpd-colunistas-arti-
gos-e-opinioes> Acesso em 01 de julho de 2022.
6
Idem.
136
O fato é que, com a chegada da legislação de proteção

de dados, os condomínios deverão passar por algumas mu-
danças o que implica em ajustes em seus procedimentos in-
ternos e com terceiros. Colaboradores precisam ser treinados
para saber como devem proceder nas mais diversas situações
que envolvem dados pessoais dentro do condomínio e no li-
dar com os terceiros e fornecedores.
Os próprios condôminos devem ter ciência das novas
regras adotadas e incluídas tanto no Regimento Interno como
na Convenção do Condomínio conforme o caso, e inclusive,
a melhor prática indica que devem ser incluídos no processo
de adequação e oportunizada a participação dos condôminos
na construção destas modificações através das assembleias
condominiais, visando evitar futuros dissabores.
Assim, é essencial que os condomínios considerem os
riscos a que estão sujeitos e busquem a adequação à legis-
lação inclusive porque a implementação da LGPD nos con-
domínios não se presta apenas a evitar os riscos e prejuízos
financeiros que podem advir de um incidente de segurança
envolvendo dados pessoais, mas também traz inúmeras van-
tagens dentre as quais podemos citar: a diminuição do tempo
de resposta aos titulares e outras demandas envolvendo dados
pessoais, implementação de regras claras para realização do
tratamento de dados pessoais internamente, demonstração de
preocupação com os próprios condôminos e colaboradores,
conscientização dos colaboradores, terceiros e condôminos
com relação às regras que regem o condomínio.
137
II.I TRATAMENTO DE DADOS DE CRIANÇA E DE

ADOLESCENTES
A Lei Geral de Proteção de Dados, em seu artigo 14,

confere especial proteção ao tratamento de dados de crianças
e adolescentes inclusive estabelecendo um regime especial
de proteção para os dados destes titulares uma vez que uma
violação de proteção de dados neste caso acarreta uma série
de riscos à segurança psíquica, moral e física dos titulares7.
As crianças e adolescentes são titulares de dados mais
vulneráveis e, portanto, mais protegidos pela LGPD uma vez
que se encontram em “estágio peculiar de desenvolvimento
biopsíquico e social”8 e são indivíduos que estão “começando
a desenvolver a compreensão da amplitude do tratamento de
dados pessoais e a capacidade de tomar as decisões sobre au-
torizar ou não o uso de informações e dados pessoais”9.
A legislação é categórica ao afirmar que o tratamento de
dados pessoais de crianças e de adolescentes deverá ser realiza-
do sempre em seu melhor interesse, e, embora exista a discussão
acerca das bases legais que permitem o tratamento de dados de
menores e se o tratamento deve ser exclusivamente realizado
mediante o consentimento do responsável legal ou não, certo é
que a legislação impõe regime especial para o tratamento destes
dados pessoais em virtude da vulnerabilidade de seus titulares.
Acerca da possibilidade de utilização de quaisquer das ba-
ses legais previstas nos artigos 7º e 11º da LGPD para o tratamento
7
HERTURING, Pedro; HENRIQUES, Isabella e PITA, Marina. A
proteção de dados pessoais de crianças e adolescentes. In DONEDA,
Danilo. Tratado de Proteção de dados pessoais. Pag. 205. Rio de Janeiro:
Forense, 2021.
8
Idem.
9
Idem.
138
de dados de crianças e adolescentes há entendimento de alguns

juristas de que o consentimento do responsável, mencionado no
art. 14, I, da LGPD, pode ser dispensável para o tratamento de
dados de adolescentes (maiores de 12 anos e menores de 18 anos)
quando cabível a utilização de outra base legal. Já com relação
ao consentimento do responsável para o tratamento de dados de
crianças (os menores de 12 anos) há corrente que afirma que o
consentimento também não precisa ser necessariamente a base
legal utilizada nestes casos desde que o agente de tratamento seja
capaz de demonstrar a razão da utilização de base legal diversa do
consentimento conforme o art. 6º, X da LGPD 10.
Assim, questões como o acesso de crianças e adoles-
centes desacompanhados ao condomínio para participação em
festas ou seu acesso aos apartamentos deverão ser alvo de de-
liberação, regulamentação clara e treinamento de funcionários.
Desta forma, vê-se que a questão do tratamento de da-
dos pessoais de crianças e adolescentes pode ser bastante
complexa e controvertida em alguns cenários dentro dos con-
domínios, mas não pode de maneira nenhuma ser ignorada
face a essencialidade da adequação à lei e a especial proteção
conferida a estes titulares.
III. SOBRE A SINGULARIDADE DOS CONDOMÍ-

NIOS E A PRIVACIDADE E PROTEÇÃO DE DADOS
III.I A INSTAURAÇÃO DE PORTARIA REMOTA
Primeiramente se faz importante mencionar que a
VIDIGAL, Paulo de Oliveira Piedade. Alternativas ao consentimento

10
como base legal para o tratamento de dados pessoais. In PALHA-

RES, Felipe. Estudos sobre privacidade e proteção de dados. Pag. 247.
São Paulo: Thomson Reuters Brasil, 2021.
139
Lei Geral de Proteção de Dados não entrou em vigor com o

objetivo de destituir legislações anteriormente vigentes, nem
impedir que dados sejam utilizados, mas tão somente possui
o intuito de atuar em conjunto com as normas existentes, a
fim de organizar a forma como os dados são manipulados.
Assim, os condomínios continuam a poder coletar,
utilizar e armazenar dados, sem violar qualquer preceito da
LGPD, quando a ação estiver validada por uma base legal e
atrelada a uma finalidade específica diretamente relacionada
à necessidade destes dados para a garantia do melhor desem-
penho. A previsão do artigo 7 da Legislação garante isso, em
seu inciso IX conforme pode-se constatar abaixo:
O tratamento de dados pessoais somente poderá ser
realizado nas seguintes hipóteses: IX - quando necessário
para atender aos interesses legítimos do controlador ou de
terceiros, exceto no caso de prevalecerem direitos e liberda-
des fundamentais do titular que exijam a proteção dos dados
pessoais; [...]11
O que deve ocorrer neste cenário é o aumento do
cuidado do síndico – no papel de responsável pelo funcionamen-
to do condomínio – pela administração destes dados. Um dos
pontos que deve ser avaliado com cautela é a questão da portaria
instituída no local, afinal, além de ser responsável pela salva-
guarda do bem estar físico dos condóminos, também manuseia
diariamente os dados dos moradores e dos visitantes itinerantes.
Com isso, nos casos em que a portaria for terceirizada,
ou seja, uma portaria remota vinculada a uma empresa con-
tratada pelo condomínio para prestar o devido serviço, cabe
ao síndico avaliar se a organização está adequada à LGPD e
apoiada em suas diretrizes. Nesta apreciação, deve-se obser-
var ainda: onde os dados da empresa são armazenados – se
LEI 13.709/18. Disponível em: <http://www.planalto.gov.br/ccivil_03/_

11
ato2015-2018/2018/lei/l13709.htm> Acesso em: 01 de julho de 2022
140
por um sistema próprio integrado ou se utilizam-se de outro

operador de dados, como são tratados, a forma como são ex-
cluídos e como funciona o seu monitoramento.
Neste diapasão cumpre esclarecer o que seria a porta-
ria remota, e ela é: “uma forma remota de liberação de entrada
e saída de moradores, que acontece através de uma tecnologia
de controle de acesso e da central de monitoramento, sem a
presença de um porteiro físico no condomínio12”. Dessa for-
ma, para que a empresa de portaria remota esteja prestando
um serviço adequado com a Legislação vigente e assim seja
apropriada para o condomínio, deve possuir um desempenho
adaptado, respeitando todas as fases do ciclo de dados.
A partir do momento em que a LGPD entrou em vigor,
as empresas de portaria remota, na posição de pessoa jurídica de
direito privado, tiveram que se moldar aos novos aspectos esta-
belecidos, que garantem uma preocupação ainda maior com a
privacidade (que já era prevista e imposta como direito) e com o
amparo dos dados que circulam dentro dos condomínios, visan-
do mitigar a possibilidade da ocorrência de violação de dados.
Entre os aspectos que podem ser destacados neste

amoldamento à LGPD, tem-se: “uma central de monitora-
mento blindada e segura, onde estarão alocados todos os ope-
radores que realizam os atendimentos e monitoramentos dos
condomínios13”, afinal, aqueles que acessam as informações
compartilhadas na portaria, estão tendo acesso a diversos da-
dos pessoais, assim como também, por vezes, dados sensíveis,
como os casos em que ocorre o cadastro da biometria. De igual
maneira essas empresas devem assegurar que a proteção esta-
12LÁZARO, José. LGPD para condomínios e empresas de portaria remo-

ta. Disponível em: <https://minhaportaria.com/portaria-remota/lgpd-para-con-
dominios-e-empresas-de-portaria-remota/> Acesso em: 01 de julho de 2022.
13
Idem.
141
belecida também ressoe para os dados de seus funcionários e

seus prestadores de serviços – atentando aqui se estes também
contemplam em sua estrutura as garantias legais.
Nesta conjuntura cabe mencionar ainda que, diante
dos conceitos estabelecidos pela LGPD, na circunstância da
portaria remota, os colaboradores contratados pela empresa
são tidos como os operadores de dados e a organização se
enquadra no papel de controlador de dados. Ou seja, dentro do
próprio funcionamento da empresa existe uma segmentação
de papéis legais representativos.
Outro ponto de grande importância a ser observado
é a questão da preservação pelas imagens que circulam no
sistema de portaria remota por meio dos circuitos internos – o
chamado CFTV. Desse modo, para que fique claro a impor-
tância e a o porquê da classificação da imagem também como
um dado pelas deliberações da legislação, cabe mencionar:
(...) da mesma forma que os dados cadastrais,

as operações de captura, armazenamento e
divulgação de imagens contendo identifica-
ção pessoal, comumente presentes nos siste-
mas de segurança dos condomínios e/ou das
empresas contratadas, especialmente as de
portaria remota, detém os elementos neces-
sários para o enquadramento à LGPD14.
14
KARPAT, Rodrigo. A Lei Geral de Proteção de Dados – Lei 13.709
“LGPD”, de 14 de agosto de 2018 e seus reflexos para os condomínios
edilícios e empresas terceirizadas (administradoras de condomínio,
empresas terceirizadas de portaria virtual e remota, entre outros).
SECRETARIA DAS COMISSÕES – OAB/SP. Pag. 5. Disponível em:
< chrome-extension://efaidnbmnnnibpcajpcglclefindmkaj/https://www.
oabsp.org.br/comissoes2010/gestoes2/2019-2021/direito-imobiliario/no-
ticias/Parecer%20LGPD%202021.pdf> Acesso em: 01 de julho de 2022.
142
Assim, as empresas de portaria remota, no papel de con-

tratadas pelos condomínios, devem, junto com eles, garantir que o
tratamento de dados será realizado da maneira correta e que todas
as obrigações legais serão cumpridas, a fim de evitar que incorram,
em solidariedade, nas penalidades previstas em Lei, quando não
estão em conformidade com os resguardos previstos na LGPD.
III.II. A IMPORTÂNCIA DA REVISÃO DOCUMENTAL
Todo processo de adequação à LGPD deve passar por

uma reestruturação documental, que consiste em uma avalia-
ção interna dos documentos já existentes, tal como contratos,
com objetivo de avaliar se estes estão com as cláusulas ade-
quadas à privacidade e proteção de dados, para que, caso não
estejam, sejam aditivados de maneira apropriada.
Insta salientar ainda que, no momento em que ocorre
a análise destas documentações, deve-se fazer uma triagem
acerca dos dados que estão sendo captados, a fim de aferir se
efetivamente existe uma justificativa relacionando a finalida-
de e a necessidade, para tanto. Neste aspecto, por exemplo,
quando acontece a apreciação dos contratos de trabalho dos
colaboradores, pondera-se se os dados estão relacionados à
uma finalidade trabalhista.
Neste ponto, deve-se levar em consideração: desde da-
dos coletados antes da contratação – ou seja, aqueles admi-
nistrados pelo Departamento Pessoal no processo de Recursos
Humanos – como o currículo, aos dados relacionados à efetiva
celebração do contrato – aqueles de qualificação base. De igual
forma, carece ser avaliado o processo de exclusão dos dados,
assim, deve-se contemplar os dados pós término do contrato –
tal como verbas rescisórias e o motivo do desligamento.
143
Com isso, o que fica evidente é que, independente-

mente do tipo contratual – o trabalhista foi utilizado mera-
mente como forma exemplificativa – no momento da avalia-
ção dos contratos ativos do condomínio, deve ser avaliado
não somente o nível de conformidade com a LGPD, mas tam-
bém todos os dados previstos neles para que seja determina-
da a essencialidade destes ou não, pois todas as informações
adquiridas devem ser utilizadas para fins vinculados.
Por certo, contratos com as empresas terceirizadas de
igual forma, devem ser analisados, conforme já estabelecido
no tópico anterior das portarias remotas. Ou seja, todos aque-
les que prestarem serviços ao condomínio devem também ter
os seus contratos reavaliados e reestruturados de acordo com
a privacidade e proteção de dados, desde administradoras às
empresas de contabilidade.
Os documentos específicos relacionados aos con-
domínios não ficam de fora dessa questão. Aqueles como o
Regimento interno e a Convenção de condomínio também
devem ser reorganizados e adequados à LGPD.
Nesse processo de revisão documental, deve conter
também, a inserção de documentos específicos, como as Po-
líticas internas vinculadas à temática e Termos de responsa-
bilidades para todos os funcionários que manuseiem os dados
captados no exercício de sua função saibam a magnitude de
seu encargo sob a proteção das informações – inclusive, essa
questão pode inclusiva já vir prevista como uma cláusula es-
pecífico no próprio contrato de trabalho.
Importante se faz evidenciar que, nos condomínios,

todas as alterações documentais existentes devem passar pelo
crivo da Assembleia de Condomínio, que deve ser convocada
para a devida comunicação e aprovação.
144
Uma vez empregados os parâmetros documentais

adequados pelos condomínios edilícios15 as informações
que são captadas por estes se tornam mais seguras, afinal,
após inspeção minuciosa, pode vir a ocorrer uma redução
do número de informações obtidas para que apenas as es-
tritamente necessárias sejam mantidas. Além disso, na ve-
rificação documental, pondera-se também o nível de atuali-
zação do banco de dados, para que seja certificado um dos
princípios da LGPD, qual seja: o de precisão – deletando ou
atualizando todos os dados imprecisos.
Portanto, é primordial que o condomínio efe-
tue uma revisão interna, para “manter a seguran-
ça e a integridade dos dados armazenados 16” por
meio de documentos adequados. Assim, deve exis-
tir: “a autorização para acessar documentos, arquivos
e o próprio banco de dados. Além disso, a criação de
acordos de confidencialidade com prestadores de ser-
viços ou terceirizados que, por algum motivo, preci-
sam ter acesso ao banco de dados do condomínio 17”.
15
MOTA, Daniela; JONES, Sarah. Lei Gerald e Proteção de Dados, con-
domínios edilícios residenciais e o acesso a informação pelos oficiais de
Justiça em cumprimento à ordem judicial. Disponível em: < https://www.
migalhas.com.br/coluna/migalhas-edilicias/349937/lgpd-condominios-edili-
cios-e-informacao-pelos-oficiais-de-justica> Acesso em 01 de julho de 2022.
16
FILHO, César Peduti. A LGPD no condomínio: o que você precisa
saber para prestação de contas. Disponível em: < https://blog.peduti.
com.br/a-lgpd-no-condominio/> Acesso em 01 de julho de 2022.
17
Idem.
145
III.III. A CONTRATAÇÃO DE SOFTWARE DE

SEGURANÇA
Com a existência da LGPD determinando diretrizes a

serem seguida com relação a tratativa de proteção de dados,
o funcionamento da dinâmica de todas as pessoas físicas e
jurídicas que se utilizam de informações para a prestação de
um determinado serviço, mudou completamente.
No tocante aos condomínios, com o advento desta Legis-

lação, os dados manipulados por eles passaram a precisar de uma
camada extra de segurança, a fim de evitar qualquer forma de vio-
lação, e neste aspecto, evidencia-se a aplicação de um software de
segurança para uma administração e salvaguarda adequada dos
dados. Neste sentido, cabe pontuar o que é um software, sendo ele:
“(...) um conjunto de dados que indicam a um mecanismo como
executar uma ou várias tarefas. Sendo assim, uma vez programa-
do, basta o software receber as informações necessárias para que
ele execute tarefas específicas automaticamente18”.
Portanto, a utilização de um software é ideal para que
a organização interna dos condomínios seja estabelecida de
maneira estruturada, assim como também para facilitar o
controle acerca do manuseio dos dados. Isto pois, os condo-
mínios devem ordenar o manejo das informações que existem
em seu sistema, desde o momento da sua captação à sua ex-
clusão, incluindo também a gestão de requisições efetivadas
pelos titulares de dados.
O software auxilia ainda no mapeamento dos dados dos
condomínios, assim como também na estruturação da gestão de
riscos, para estabelecer medidas de mitigação ideais baseadas
HORTA, Henrique. Software para administradoras de condomínios online:
18
tudo sobre. Disponível em: < https://www.groupsoftware.com.br/blog/software-

-para-administradoras-de-condominios/> Acesso' em: 01 de julho de 2022.
146
em planos de ação concretos. De igual forma, ele também tem

“outra grande proposta de valor que é a centralização de proces-
sos e isso é percebido principalmente nos softwares online19”.
Esses softwares de segurança para condomínios devem
ser minunciosamente avaliados e certificados que estão de acor-
do com os preceitos da LGPD, tendo em vista que “trabalham
com o compartilhamento de informações confidenciais de um
número considerável de pessoas, que estão sob sua responsa-
bilidade20”. Ademais, é importante saber se o software é capaz
de armazenar “informações que possam ser acessadas no futuro
pelos próprios usuários,21” afinal, é necessário que o livre acesso
seja inevitavelmente garantido, em consonância com a LGPD.
IV. ASPECTOS DA RELAÇÃO DOS CONDOMÍNIOS

COM O CONTENCIOSO DA PROTEÇÃO DE DADOS
A legislação de proteção de dados impõe novas obriga-

ções aos agentes de tratamento e institui novos direitos aos ti-
tulares de dados que refletem nas mais diversas áreas do direito
inclusive no direito condominial. Assim, a não conformidade
com a legislação de proteção de dados pessoais pode aumen-
tar a judicialização de demandas e pode resultar em demandas
para o condomínio que abrangem inclusive o Direito do Traba-
lho, Direito Condominial, Responsabilidade Civil etc.
19
Autor desconhecido. Como escolher o software de monitoramento
para a segurança do seu condomínio? Disponível em: < https://www.
scond.com.br/blog/como-escolher-o-software-de-monitoramento-para-a-
-seguranca-do-seu-condominio#> Acesso em 01 de julho de 2022.
Idem.
20
Idem.
21
147
As condenações em obrigação de fazer decorrentes do

descumprimento da LGPD podem, inclusive, demandar mui-
to mais das estruturas internas e do orçamento da instituição
condenada do que uma condenação pecuniária e ainda ense-
jar multas por descumprimento 22.
Em decisão recente, a recusa no fornecimento de dados
pessoais de moradores por parte de uma administradora de
condomínio a um grupo de condôminos que buscava a destitui-
ção do síndico foi alvo de litígio perante o TJSP. Na decisão so-
mos informados que a administradora se recusou a fornecer os
dados de moradores a este grupo de condôminos com base da
LGPD e se justificou indicando que não havia colhido o con-
sentimento dos moradores para o compartilhamento de dados.
O desembargador Antonio Rigolin em sua decisão in-
dicou que o caso não se tratava da hipótese de tratamento que
exigiria o consentimento do titular mas que o tratamento de
dados deveria se dar com base no art. 11, II, a da LGPD que
trata da base legal de cumprimento de obrigação legal ou re-
gulatória. Em suas palavras:
Naturalmente, o fornecimento das informa-
ções pode ocorrer em situações excepcionais,
justamente em cumprimento de obrigação le-
gal. Existe o dever de viabilizar a realização
da assembleia, e a ré, detentora dos dados,
não pode se recusar ao fornecimento dos da-
dos necessários, situação que se enquadra no
permissivo do artigo 11, inciso II, a, da Lei
13.709/2018 23.
22
NEVES, Nathalia; ROSSI, Beatriz; SILVA, Raphaela. A aplicação de
sanções administrativas pelo descumprimento da LGPD. Disponível
em:<https://www.conjur.com.br/2021-set-30/opiniao-aplicacao-sancoes-
-descumprimento-lgpd>. Acesso em 28 de junho de 2022.
23
SÃOPAULO.TribunaldeJustiçadeSãoPaulo(31ªCâmaradeDireitoPrivado).Agravode
Instrumento, 2191959-94.2021.8.26.0000; Relator: Antonio Rigolin. Data do Julgamen-
to: 30/09/2021. Disponível em: <https://tj-sp.jusbrasil.com.br/jurisprudencia/1291835672/
agravo-de-instrumento-ai-21919599420218260000-sp-2191959-9420218260000 >.
Acesso em 12 de junho de 2022.
148
Neste caso há alguns pontos importantes que devem ser

avaliados. Primeiro, a importância da correta atribuição das bases
legais para o tratamento de dados o que exige do profissional um
conhecimento acerca da legislação civil e do Direito Condominial.
Segundo, é a relevância da demonstração da preocupação
e busca pela conformidade para isenção ou diminuição do valor
pecuniário de uma multa ou indenização. Neste caso a admi-
nistradora, embora tenha retido os dados que deveriam ter sido
entregues, demonstrou boa-fé e preocupação com os dados pes-
soais e foi condenada apenas a entregar os dados requeridos sob
pena de multa diária no caso de não o fazer o prazo determinado.
Terceiro, é a reflexão acerca dos possíveis reflexos que
poderiam recair sobre o condomínio no caso de uma conde-
nação pecuniária ou obrigacional em face da administradora
por ele contratada.
Os condomínios se enquadram na categoria daqueles que

devem adequar o seu funcionamento à Lei Geral de Proteção de
Dados, assim, os dados que são manipulados devem ser salva-
guardados de forma que eles sigam uma lógica da proteção que
permeie toda a cultura organizacional do condomínio, criando
uma governança que seja disseminada em toda sua estrutura.
Como anteriormente indicado, os condomínios são
responsáveis por um encadeamento de dados e por este motivo
têm a necessidade de manter-se compenetrados em estabelecer
o assegurado tratamento dos dados por eles utilizados.
Assim, para que estejam ajustados às deliberações da
Lei Geral de Proteção de Dados, eles devem, dentre outras ne-
cessidades mais específicas: averiguar o fluxo de dados dentro
do condomínio, realizar o registro de operações, identificar ris-
149
cos para mitigação, adequar os documentos e estruturar políti-

cas específicas, efetivar treinamentos de conscientização com
os colaboradores internos para o tratamento adequado de dados
pessoais, avaliar os dados que são captados de acordo com a sua
necessidade e finalidade, determinar o formato das Assembleias
(virtuais ou presenciais) e garantir que elas sejam devidamente
conduzidas e registradas, analisar a existência de dados de crian-
ça e de adolescente, assim como de dados sensíveis e realizar o
Due Diligence com seus terceiros e fornecedores.
Os itens aqui enumerados são tão somente exemplificati-
vos, a fim de demonstrar alguns dos pontos principais que não po-
dem deixar de existir dentro do procedimento de adequação de um
condomínio à LGPD, que deve, sem via de dúvidas, acontecer, no
intuito de manter a organização em conformidade com a legisla-
ção vigente e comprometida com a manipulação dos seus dados.
Esta adequação às diretrizes determinadas pela legis-
lação de proteção de dados definitivamente não é uma tarefa
simples e rápida. Entretanto, uma vez que todos os passos do
processo de implementação da LGPD são realizados, inclusive
no que se refere as particularidades da entidade a ser adequada,
ao final, a organização estará mais aderente à legislação bus-
cando garantir a segurança dos dados pessoais que trata.
VI. REFERÊNCIAS
__________ LEI 13.709/18.
Autor desconhecido. Como escolher o software de monito-

ramento para a segurança do seu condomínio?
FILHO, César Peduti. A LGPD no condomínio: o que você

precisa saber para prestação de contas.
150
HERTURING, Pedro; HENRIQUES, Isabella; PITA, Mari-

na. A proteção de dados pessoais de crianças e adolescen-
tes. In: DONEDA, Danilo. Tratado de Proteção de dados
pessoais. Rio de Janeiro: Forense, 2021.
HORTA, Henrique. Software para administradoras de

condomínios online: tudo sobre.
KARPAT, Rodrigo. A Lei Geral de Proteção de Dados – Lei

13.709 “LGPD”, de 14 de agosto de 2018 e seus reflexos
para os condomínios edilícios e empresas terceirizadas
(administradoras de condomínio, empresas terceirizadas
de portaria virtual e remota, entre outros). SECRETARIA
DAS COMISSÕES – OAB/SP.
LÁZARO, José. LGPD para condomínios e empresas de

portaria remota.
MATUZAKI, Thais. Situações específicas em condomínios su-

jeitas à LGPD. Disponível em: <https://www.sindiconet.com.br/
informese/situacoes-especificas-em-condominios-sujeitas-a-lgp-
d-colunistas-artigos-e-opinioes> Acesso em 01 de julho de 2022
MOTA, Daniela; JONES, Sarah. Lei Gerald e Proteção de Da-

dos, condomínios edilícios residenciais e o acesso à informação
pelos oficiais de Justiça em cumprimento à ordem judicial.
NEVES, Nathalia; ROSSI, Beatriz; SILVA, Raphaela. A

aplicação de sanções administrativas pelo descumpri-
mento da LGPD. Disponível em:<https://www.conjur.com.
br/2021-set-30/opiniao-aplicacao-sancoes-descumprimento-
-lgpd>. Acesso em 28 de junho de 2022.
151
REAL, Diana Villa. Como fica o acesso a condomínios com

a LGPD em vigor?
RESOLUÇÃO CD/ANPD Nº 2, DE 27 DE JANEIRO DE

2022. Disponível em https://www.in.gov.br/en/web/dou/-/re-
solucao-cd/anpd-n-2-de-27-de-janeiro-de-2022-376562019
Acesso em: 01 de julho de 2022.
SÃOPAULO.TribunaldeJustiçadeSãoPaulo(31ªCâmaradeDireitoPri-
vado). Agravo de Instrumento, 2191959-94.2021.8.26.0000; Relator:
Antonio Rigolin. Data do Julgamento: 30/09/2021. Disponível em: <ht-
tps://tj-sp.jusbrasil.com.br/jurisprudencia/1291835672/agravo-de-ins-
trumento-ai-21919599420218260000-sp-2191959-9420218260000>.
Acesso em 12 de junho de 2022.
VEIGA, Maria Raimundo Mendes da Veiga. Jornadas de

Direito Civil I, III, IV e V. Enunciados Aprovados. Justiça
Federal. Centro de Estudos Judiciários. 2012.
VIDIGAL, Paulo de Oliveira Piedade. Alternativas ao con-

sentimento como base legal para o tratamento de dados
pessoais. In: PALHARES, Felipe. Estudos sobre privacidade e
proteção de dados. São Paulo: Thomson Reuters Brasil, 2021.
152
SOCIEDADE DIGITAL E LGPD: UM OLHAR SOBRE

O FUTURO QUE JÁ CHEGOU
Denielle Maria Vieira Oliveira Gil1

Adriana Tocchet Wagatsuma2
I. INTRODUÇÃO
É fato: vivemos em uma sociedade digital.

Provavelmente você já deve ter ouvido falar dos Jetsons, e
não é exagero considerarmos que a nossa realidade está bem
próxima daquela retratada em um desenho animado lançado
na década de 1960. Apesar de o mundo dos Jetsons se passar
no ano de 2062, é possível vivenciar hoje algumas das tec-
nologias à época consideradas futuristas, entre elas: TVs de
tela plana, tablets, chamadas de vídeo, smartwatches, robôs
que fazem o trabalho doméstico, assistente virtual, esteiras
rolantes, turismo espacial, etc.3
Nos dias atuais, é impossível imaginar o funciona-
mento de tarefas, desde as mais simples até as mais complexas,
sem a interferência da tecnologia. Se pararmos para pensar,
conseguimos perceber que, em poucos anos, a nossa rotina,
seja ela doméstica ou profissional, passou por grandes transfor-
mações. A pandemia, que vem sendo enfrentada desde 2020,
reafirmou e acelerou esse processo.
3
EVANGELISTA, Raphael. Veja 12 previsões acertadas pelos Jetsons
sobre a tecnologia do século 21. Tilt Uol, 04/05/2020. Disponível em:
<https://www.uol.com.br/tilt/noticias/redacao/2020/05/04/11-previsoes-
-que-os-jetsons-acertaram-sobre-a-tecnologia-no-seculo-21.htm>. Aces-
so em: 27 jun. 2022.
153
É legítimo atribuir a popularização dos meios

tecnológicos à democratização da internet e ao acesso em mas-
sa aos smartphones. Hoje, em apenas alguns segundos, uma
pessoa comum consegue solicitar corrida de carro e carona; ter
acesso a diversos restaurantes e tipos de comidas; passar em
consulta médica; participar de reuniões; prestar seus serviços
de forma remota; adquirir conhecimento através de cursos a
distância; pedir à assistente virtual que a lembre de atualizar
a lista do mercado, acordar no horário habitual ou tocar a sua
música preferida, entre muitas outras possibilidades.
Contudo, não apenas a forma como lidamos com as
situações do dia a dia foram modificadas, mas o modo como
nos relacionamos com as pessoas também sofreu grandes im-
pactos por conta da digitalização. A comunicação ficou pra-
ticamente instantânea. Nos comunicamos por todos os meios
disponíveis – textos, áudios, emojis, likes, gifs, memes, figu-
rinhas, imagens, vídeos, etc. –, sem contar os diversos canais
de comunicação acessíveis, sejam eles privados ou públicos.
As transformações alcançaram também as organiza-
ções e seus processos, produtos e serviços, o relacionamento
com os seus colaboradores, com o meio ambiente e, principal-
mente, com os seus consumidores; impactaram as pesquisas
científicas e o acesso à saúde; alteraram a forma como as pessoas
podem exercer os seus direitos ou preservá-los, seja participando
de audiências de forma on-line, seja registrando um boletim de
ocorrência em uma delegacia eletrônica. Novas profissões e ati-
vidades surgiram. A publicidade e o marketing em geral também
sofreram significativas alterações. As ofertas agora são perso-
nalizadas, e o investimento nas comunicações voltadas a elas é
feito a partir de indicadores e interesses dos potenciais clientes.
As inovações modificaram a forma como orga-
nizamos a nossa vida financeira e como nos relacionamos
154
com os bancos e o sistema financeiro; alteraram os meios

de pagamento permitindo que transações sejam praticamen-
te instantâneas, e um novo tipo de dinheiro foi lançado – as
criptomoedas –, que vêm ganhando cada vez mais adeptos.
Computadores de alta performance e algoritmos complexos
foram desenvolvidos e evoluem rapidamente na sua capaci-
dade de aprendizado mediante a interação humana. Há tam-
bém os games de realidade virtual, processos que envolvem
reconhecimento facial e biométrico, e até a publicação deste
artigo, com toda certeza, outras inovações surgirão.
É importante ressaltar que, na sociedade digital, as
pessoas deixaram de ser identificadas apenas pelos seus dados
básicos, como, por exemplo, nome, número do CPF, endereço,
filiação, profissão, etc. Essas informações, obviamente, conti-
nuam sendo importantes, pois são dados relacionados à pessoa
e que imediatamente a identificam e a tornam única. Todavia,
nos tempos atuais, infinitas informações podem ser relaciona-
das a esta pessoa, possibilitando a sua identificação. É a cha-
mada “pegada digital”, ou seja, a partir da nossa interação com
a tecnologia surgem outras informações, que também são con-
sideradas dados pessoais, pois podem revelar os nossos hábitos
de consumo, de geolocalização e navegação na internet, assim
como nossos gostos e preferências. Em certas circunstâncias,
podem revelar informações sensíveis, tais como histórico de
saúde, religião, opinião política, entre outras.
Nesse sentido, não há dúvidas de que, para serem úteis
e até mesmo para se desenvolverem, as tecnologias necessitam
das pessoas, ou seja, dos seus dados pessoais. São estas infor-
mações que as tornam cada vez mais eficientes e necessárias.
As informações sobre as pessoas, – seus gostos, preferências e
hábitos – tornaram-se extremamente valiosas para o aprimora-
mento e desenvolvimento dos modelos de negócios das grandes
155
organizações, que passaram a pautar suas decisões em dados, ,

direcionando, por exemplo, as ofertas de seus produtos e ser-
viços para perfis específicos de pessoas, a fim de maximizar o
faturamento e de minimizar os custos das operações.
Não apenas as organizações privadas estão passando
por uma profunda transformação digital e cultural, os gover-
nos, de igual forma, não estão isentos de garantirem a privaci-
dade e a proteção de dados dos seus cidadãos. Nesse contexto,
acrescenta-se a preocupação com o monitoramento e o contro-
le estatal, que pode acarretar sérias consequências aos direitos
fundamentais dos titulares dos dados.
Voltando aos Jetsons, é notório que as tecnologias
e a forma como vivemos hoje estão muito próximas do que
foi imaginado pelos seus criadores, com a ressalva de 40 anos
de diferença no tempo em relação aos nossos dias atuais. Em
breve, os Jetsons deixarão de ser considerados precursores do
futuro para se tornarem mensageiros do passado,4 uma vez
que novas tecnologias estão a todo momento sendo lançadas
e disponibilizadas para as pessoas: carros autônomos, cidades
inteligentes, metaverso, avanços nos campos da biotecnologia,
machine learning e inteligência artificial, etc.
É fascinante poder vivenciar todas essas transformações
e saber que ainda vamos experimentar muitas outras inovações.
Entretanto, é fundamental que sejam respeitados os direitos à
privacidade e à proteção dos dados pessoais dos usuários. Não
podemos nos esquecer de que equívocos já foram cometidos por
gigantes da tecnologia com consequências de alcance global. O
custo de viver em uma sociedade digital não pode se dar com sa-
4
MACENA, Rodrigo. Em breve, ‘Os Jetsons’ serão coisa do passado. Olhar di-
gital, 07/07/2021. Disponível em: <https://olhardigital.com.br/2021/07/07/colu-
nistas/em-breve-os-jetsons-serao-coisa-do-passado/>. Acesso em: 27 jun. 2022.
156
crifícios aos direitos fundamentais das pessoas, por isso é impres-

cindível o cumprimento às leis e aos regulamentos, assim como o
debate técnico-jurídico contínuo, a fim de que a tecnologia evolua
em um cenário seguro para as pessoas.
II. PROTEÇÃO X INOVAÇÃO
Uma coisa é certa: não temos como retroceder às inova-

ções e precisamos que sejam respeitados os direitos fundamentais
de privacidade e proteção dos dados pessoais.
Discussões relacionadas à privacidade são antigas, ta-
manha a necessidade de se preservar tal direito. Segundo Vivia-
ne Maldonado,5 questões filosóficas sobre esse tema remontam à
Grécia antiga, porém o marco considerado principal é a obra de
Samuel D. Warren e Louis D. Brandeis “The right to privacy”, de
1890 , na qual foi consagrado o “direito de estar só”. Outro marco
histórico importante é a Declaração Universal dos Direitos Huma-
nos, que consagrou a privacidade como um direito fundamental.
Corroborando esse entendimento de que discussões sobre privaci-
dade e proteção de dados do mundo são realizadas há muitos anos,
podemos citar Miriam Wimmer:
Privacidade e proteção de dados
pessoais são temas debatidos há mais de cem
anos, mas sua incorporação à agenda polí-
tica e sua caracterização como policy issue
podem ser temporalmente situadas no final
da década de 1960, fruto do desenvolvimen-
to das capacidades computacionais e de sua
progressiva utilização por governos e por
empresas. Nas décadas subsequentes, o au-
mento no volume dos fluxos transacionais
de dados pessoais e a sua crescente impor-
MALDONADO, Viviane (coord.). LGPD – Lei Geral de Proteção de Dados

5
Pessoais: manual de implementação. São Paulo: Revista dos Tribunais, 2019. p. 12.
157
tância econômica impulsionaram um movi-

mento global de adoção de leis de proteção
de dados pessoais e fortaleceram a busca por
harmonização internacional quanto ao tema.6
A privacidade e a segurança das informações dos usuá-

rios voltou a ser pauta de discussão global, incusive no Brasil,
em 2013, no caso Edward Snowden. De acordo com Carlos
Liguori, Snowden expôs “um complexo esquema de vigilância
global conduzido pelo governo dos Estados Unidos”, o que fez
ao trazer à tona milhares de documentos oficiais que comprova-
vam suas alegações. A ação exposta por Snowden incluía o mo-
nitoramente de estrangeiros, inclusive autoridades governamen-
tais. Sgeundo a autora, as “revelações pegaram a comunidade
internacional de surpresa, e questões de segurança, privacidade
e proteção de dados passaram a ocupar os holofotes.”7
Não obstante o Brasil só ter promulgado a sua Lei
Geral de Proteção de Dados (LGPD) em 2018 – a Lei Federal
13.709/2018 –,não podemos desconsiderar que, desde a Cons-
tituição de 1988, em seu art. 5º, incisos X, XII e LXXII, já se
resguardava a intimidade e a vida privada, bem como ao sigilo
das correspondências e comunicações telegráficas, de dados e
telefônicas, além do instituto do “habeas data”, e recentemente
passamos a ter garantida como direito fundamental a proteção
aos dados pessoais, inclusive nos meios digitais.
O Código de Defesa do Consumidor (Lei 8.078/1990),
em seus arts. 43 e 44, já regulamentava pontos importantes sobre
6
Wimmer, Miriam. Autoridades de proteção de dados pessoais no mun-
do: fundamentos e evolução na experiência comparada. In: PALHARES,
Felipe (coord.). Temas atuais de proteção de dados. São Paulo: Revis-
ta dos Tribunais, 2020. p. 153-170. p.153.
7
LIGUORI, Carlos. Direito e criptografia: direitos fundamentais, segu-
rança da informação e os limites da regulação jurídica na tecnologia. São
Paulo: Saraiva, 2022. p.23.
158
a atuação dos bancos de dados e cadastros, garantia aos consu-

midores o direito de acesso às informações existentes em cadas-
tros, fichas, registros e dados pessoais e de consumo arquivados
sobre ele, indicando as respectivas fontes, assim como contem-
plava o direito à atualização e à correção de dados.
E, a despeito de, no ano de promulgação do Marco
Civil da Internet (MCI), as discussões no Brasil sobre a im-
portância da privacidade e da proteção de dados não serem
o tema central, era evidente a necessidade de assegurar aos
usuários maior segurança e proteção de suas informações pes-
soais na internet. Ou seja, apesar de o objetivo do MCI não
ser regulamentar de forma ampla e completa as questões sobre
privacidade e proteção de dados pessoais, é possível perceber
no art. 3º, inciso III, o que legislador consagrou a proteção de
dados pessoais como um dos princípios da disciplina do uso
da internet no Brasil, embora tenha optado por delegar o tra-
tamento deste assunto a uma lei específica posterior. Segundo
Marcel Leonardi, “desde o seu início o MCI nunca pretendeu
substituir uma lei geral de proteção de dados pessoais, servindo
apenas de primeiros passos no caminho legislativo”.8
Com tudo isso, apesar de outros diplomas legais trata-
rem privacidade e proteção de dados, nenhum deles foi especí-
fico e impulsionou uma mudança de paradigma social, técnico
e econômico. Portanto, ousamos afirmar que a LGPD não é
apenas uma hype, mas um fato gerador de grandes transfor-
mações no campo da tecnologia e da inovação, assim como
um meio para assegurar a privacidade e a segurança das in-
formações dos titulares, que passam a ter garantidos, além dos
8
LEONARDI, Marcel. Aspectos controvertidos entre a lei geral de
proteção de dados e o marco civil da internet. In: PALHARES, Felipe
(coord.). Temas atuais de proteção de dados. São Paulo: Revista dos
Tribunais, 2020. p. 217-243. p. 223.
159
direitos já mencionados, outros mais específicos relacionados

aos seus dados pessoais, e não apenas nos meios digitais.
A LGPD, ao estabelecer princípios e hipóteses que
justificam o tratamento dos dados pessoais pelos agentes de
tratamento, exige não apenas uma mudança de processos,
mas, sobretudo, uma transformação cultural. As organizações
passam a enxergar a privacidade e a proteção de dados pes-
soais como um diferencial competitivo e, por outro lado, os
titulares passam a valorizar esse diferencial e adquirem cada
vez mais consciência em relação aos seus direitos.
Nesse contexto, se reconhece a necessidade de pla-
nejar, criar e adequar seus produtos e serviços levando em
consideração conceitos de privacidade, segurança, prevenção
e proteção dos dados pessoais. Tornou-se indispensável para
os agentes de tratamento do nosso país aplicar a metodologia
do Privacy by Design e Privacy by Default, ou seja, garantir
a privacidade desde a concepção e por padrão dos produtos e
serviços ofertados aos usuários.
Além disso, as organizações passaram a entender que
precisam ser transparentes em suas comunicações substituin-
do textos longos e complexos por documentos com linguagem
acessível e facilmente inteligível, implementar mecanismos de
controle para prevenir fraudes e atender aos direitos dos titula-
res previstos na Lei. E essas mudanças não são um impeditivo
a novos negócios e à inovação, mas cada vez mais agregam
valor e segurança para os negócios e empresas. Destarte, as
organizações que se mantêm resistentes quanto a esta nova rea-
lidade acabarão ficando à margem do mercado.
Lado outro, é importante ressaltar que a LGPD não
pode ser interpretada como um “cheque em branco”, tanto no
que se refere à inovação quanto ao atendimento aos direitos
160
dos titulares, tendo em vista que as inovações precisam res-

peitar as leis e os regulamentos e, de outro lado, os titulares
precisam entender que os seus direitos não são absolutos – a
depender da situação, eles poderão ter a sua solicitação legi-
timamente não atendida pelo agente de tratamento, sem que
esta negativa se constitua infração à Lei.
Temos como lições aprendidas, nesses dois anos
de vigência da LGPD, que inovação e proteção necessi-
tam estar em equilíbrio para que, ao mesmo tempo em
que experimentamos os benefícios trazidos pela tecno-
logia, tenhamos assegurados os direitos fundamentais
de liberdade, privacidade, livre desenvolvimento de nos-
sa personalidade e a proteção aos nossos dados pessoais.
III. O FUTURO JÁ CHEGOU E ESTAMOS

PREPARADOS PARA ELE?
O futuro já chegou e ele não é muito diferente dos filmes

de ficção científica ou de uma série de streaming. Inúmeras são
as obras literárias e cinematográficas que retratam uma realidade
futurista onde homens e máquinas dividem o mesmo espaço e a
partir desta interação surgem os dilemas éticos e jurídicos.
A narrativa de que as máquinas irão substituir ou se
revoltar contra a humanidade ou, ainda, passar a sentir como
os humanos, apesar de permear o imaginário criativo de gran-
des escritores e roteiristas há anos, reflete dilemas a serem
enfrentados nos nossos dias atuais. Inúmeros são os debates
técnicos e jurídicos sobre essa temática e os limites que de-
vem ser definidos para preservar os direitos fundamentais dos
homens. Como exemplo mais recente, podemos citar o anún-
cio da Tesla que lançará, em setembro deste ano, o seu robô
humanoide (“Optimus”), com capacidade de executar tarefas
161
humanas consideradas perigosas ou repetitivas.9

Outro contexto que parecia ser fruto da criatividade
do homem, mas em pouquíssimo tempo se tornou – ou está
prestes a se tornar – parte de nossa realidade, é o metaverso.
Provavelmente, você já deve ter ouvido falar neste tema. Para
os estudiosos, ele não é uma novidade ou algo revolucioná-
rio, alguns consideram que o termo foi usado pela primeira
vez em 1992, na obra de ficção científica “Snow Crash”, de
Neal Stephenson, ao retratar o “second life”. O metaverso é a
convergência entre o mundo real e o digital, proporcionando
uma experiência imersiva aos usuários.
Em 2021, o à época Facebook, hoje Meta, anunciou
a criação de um metaverso permeado de realidade virtual,
realidade aumentada, óculos inteligentes, por meio do qual,
segundo seu fundador,10 será possível interagir, aprender, co-
laborar e jogar, entre muitas outras possibilidades. Outra em-
presa que vem se destacando nas questões de metaverso é a
Roblox, a qual permite que seus usuários criem seus próprios
games, avatares, construam suas cidades, etc. As experiên-
cias do metaverso, apesar de, para o homem médio, parece-
rem distantes ou mais ligadas ao universo dos games, têm
atraído marcas globais de diversos segmentos, que estão se
aventurando neste mundo para proporcionar aos seus clientes
experiências digitais, tais como, Nike, Gucci e Samsung.
Pode ser instigante e desafiador pensar que a preten-
são desta tecnologia é nos proporcionar uma imersão ainda
mais profunda e massificada no mundo digital, especialmente
9
Disponível em: <https://www.uol.com.br/tilt/noticias/redacao/2022/06/24/
robo-humanoide-tesla-pronto-setembro.htm>. Acesso em: 01 jul. 2022.
10
Disponível em: <https://about.facebook.com/br/meta/>. Acesso em: 01 jul. 2022.
162
nas questões relativas à privacidade e à proteção de dados dos

usuários, pois, para se desenvolver, esta tecnologia precisa das
pessoas. De nada adianta criar um mundo digital se as pessoas
não “comprarem a ideia” e não se sentirem seguras nele.
Por outro lado, mesmo em um mundo digital, os refle-
xos e as consequências podem ser sentidas de modo concreto e
real, uma vez que no metaverso haverá uma coleta massiva de
dados pessoais e de dados pessoais sensíveis de seus usuários,
assim como de dados comportamentais. Por meio dos avatares,
será possível coletar dos usuários reações voluntárias e involun-
tárias, emoções, microfeições faciais e muitas outras informa-
ções extremamente particulares, de cada indivíduo. Outro ponto
é a utilização das tecnologias por crianças e adolescentes, o que
pode acarretar danos na esfera da proteção da privacidade/dados
pessoais, mas danos psicofísicos pelo uso exagerado.
Estamos preparados para estas tecnologias? Conforme
destacamos nos tópicos anteriores, a tecnologia, por mais avan-
çada, inovadora e complexa que seja, precisa gerar valor, trazer
benefícios e, principalmente, garantir a segurança aos seus usuá-
rios. Nesse sentido, percebemos certa imaturidade da sociedade
civil, especialmente quanto ao controle parental na utilização
por crianças e adolescentes, o que pode facilitar a ocorrência de
comportamentos inadequados/ reprováveis.
Isso não significa dizer que não existem normas que
impeçam abusos ou infrações aos direitos dos usuários, pois,
conforme já destacamos, temos uma de Lei de Proteção de Da-
dos que estabelece que o tratamento dos dados deve atender a
propósitos legítimos, específicos, explícitos e informados ao
titular; deve ser adequado e limitado apenas aos dados neces-
sários; seguro e preventivo; e, entre outros mandamentos, não
deve ser realizado para fins discriminatórios ou abusivos. Além
disso, temos as regras previstas no Marco Civil da Internet, que
são aplicáveis às plataformas.
163
Destarte, apesar de, em um primeiro momento, o

futuro que já estamos experimentando possa parecer super
inovador e sem limites jurídicos, não é bem esse o contexto
posto. Afinal, evoluímos significativamente no campo legis-
lativo e todas as respostas, ou a maioria delas, não serão facil-
mente encontradas no texto frio da lei, por isso apresenta-se
como fundamental o debate constante com a sociedade civil,
jurídica e técnica sobre essas questões que impactam direta-
mente as nossas vidas, a fim de garantir um amanhã ainda
mais inovador e seguro para todos nós.
IV. DATA ETHICS: OS AVANÇOS DA CULTURA DE PRI-

VACIDADE E PROTEÇÃO DE DADOS NO BRASIL
Fica claro, a partir dos aspectos trazidos até aqui, o

avanço das novas legislações – obviamente, não no mesmo
ritmo do desenvolvimento das novas tecnologias – e como
o tema vem ganhando importância e musculatura nos últimos
anos no Brasil. A privacidade e a proteção de dados são te-
mas que vieram para ficar! A sociedade vem amadurecendo a
respeito dessas questões e os consumidores, em especial, pas-
saram a se dar conta de que, entre outros fatores, o respeito à
sua privacidade e a proteção de seus dados pessoais devem ser
mensurados e considerados para uma decisão de consumo.
Muito embora seja inevitável focar mais na ini-
ciativa privada, é certo que as considerações feitas até
aqui valem para a iniciativa pública. Assim como as em-
presas privadas e os negócios particulares, os órgãos pú-
blicos também devem se atentar à nova cultura e ao trato
dos dados pessoais dos cidadãos.
164
Dessa forma, considerando as organizações de modo

geral, públicas e privadas, é importante que estas não se limi-
tem ao primeiro esforço feito para a adequação à LGPD; aos
seus princípios e requisitos. Mas sim, que se estruturam de
maneira tal que esses esforços sejam aprimorados e continua-
mente melhorados. Os projetos de adequação à LGPD foram
somente o primeiro passo para a cultura de P&PD que deve
permear as organizações. E para manter esse esforço vivo e
presente, é necessário conectá-lo a objetivos amplos e estra-
tégicos e não apenas a resultados financeiros.
A primeira versão do projeto de privacidade e proteção
de dados para atendimento da nova legislação deverá ganhar um
novo contorno e o propósito de transformar-se em um programa,
que, ao contrário de um projeto, não tem começo, meio e fim.
Para tanto, é importante que os passos seguintes sejam dados, de
forma que o programa de privacidade tenha um efeito contínuo,
se perpetue no tempo, sendo melhorado, e se sofistique à medida
que os conceitos vão sendo absorvidos, amadurecidos e sedi-
mentados pelas organizações a que pertencem.
Como já ocorre com o programa de Integridade e
Governança, de forma geral, as ferramentas para melhoria
contínua, como monitoramento, auditorias e treinamentos,
devem também ser aplicáveis aos programas de Privacidade
e Proteção de Dados. É certo que, em meio à crise econômica
vivenciada em um cenário pós-pandemia mundial, guerra,
à alta de juros, entre outros fatores que impactam as orga-
nizações, é importante que o foco no programa seja uma
prioridade. É extremamente relevante que o programa tenha
indicadores que demonstrem à alta direção o resultado do in-
vestimento feito na temática.
Os indicadores, além de demonstrarem os avanços,
o bom uso do investimento e o retorno obtido a partir dele
165
(ROI), também devem dar voz ao cliente. As organizações

devem entender como seus clientes estão vendo a privacidade
nos produtos e serviços que estão sendo oferecidos. Nesse
sentido, é importante que os clientes sejam ouvidos e que os
valiosos feedbacks retroalimentem o programa construído, de
forma a aprimorá-lo.
As pesquisas com os clientes e usuários das
plataformas, de forma geral, trarão importantes achados,
como, por exemplo, demonstrarão se as políticas e avisos de
privacidade estão inteligíveis e são comunicados com clareza
para os usuários da ponta. A comunicação deve ser sempre
feita com linguagem clara, compreensível por todos os pú-
blicos e com informação suficiente para que o uso dos dados
pessoais seja adequadamente compreendido. A tônica certa
da comunicação gerará a confiança e, na medida em que se
sente confiante e seguro das funcionalidades experimentadas,
o usuário aventura-se em novas tecnologias.
Outro indicador é o canal de atendimento aos titulares
de dados. É importante que os acessos a ele sejam analisados,
medidos, e que a partir destes, o programa seja eventualmen-
te ajustado. Por exemplo, se há muitos pedidos de exclusão,
é importante entender o porquê, muitas vezes o cliente, por
um atrito havido no pós-venda, requer a exclusão dos dados e,
portanto, a razão do pedido de exclusão não está centrada nas
questões diretamente ligadas à privacidade em si, mas sim na
má prestação dos serviços de pós-venda. E é importante envol-
ver sempre a área responsável pela causa-raiz.
Uma questão extremamente relevante é que os pro-
gramas de privacidade sejam desenhados de forma a trazer
granularidade ao uso dos dados pessoais. Além de melhorar
a experiência e a navegabilidade do usuário, a granularidade
acomoda e acolhe os anseios e perspectivas das mais diversas
166
gerações que se aventuram no digital. Por exemplo, a geração

X, ou ainda os babies boomers, e toda sorte de gerações ana-
lógicas, veem com mais desconfiança a experiência on-line;
serviços que antes tradicionalmente eram feitos em lojas físi-
cas e passaram a ser oferecidos via internet ainda despertam
desconfiança e certa incredulidade. É muito importante que
essas gerações sejam conquistadas.
Assim, criar uma experiência digital que traga confor-
to, transparência e que gere essa confiança é essencial para a
efetividade do programa de privacidade e para que se tenha su-
cesso na migração dos serviços off-line para os serviços on-line.
A relevância do uso transparente e ético dos dados pessoais é
uma pauta cada vez mais presente nas organizações que com-
preendem e exercem seu papel social. Se no passado era regra
uma empresa estar focada somente na sua lucratividade, hoje seu
papel na sociedade é muito mais amplo. A sustentabilidade dos
negócios e seu sucesso estão diretamente ligados à compreensão
das organizações do seu novo papel. Sai o “Capitalismo de Sha-
reholders”, entra o “Capitalismo de Stakeholders”.
A importância de se dar cumprimento às normas de
proteção de dados e de respeito à privacidade dos indiví-
duos é retratada também nos princípios ESG (Environmental,
Social e Governance – Meio ambiente, Social e Governan-
ça), que nada mais são do que a nova compreensão do termo
“sustentabilidade”. E como não poderia deixar de ser, a pri-
vacidade e a proteção de dados são parte desses princípios,
estando representadas no “S” – no cuidado, no uso ético, res-
ponsável e não discriminatório dos dados pessoais – e no
“G” – no uso transparente dos dados –, presente também na
LGPD como um dos seus princípios (accountability).
Recente pesquisa da PWC com expoentes investi-
dores identificou que 77% desses investidores institucionais
167
planejam parar de comprar produtos não ESG nos próximos

dois anos.11 Assim, resta evidente que o programa de priva-
cidade deverá se conectar-se ao que se tem chamado de Data
Ethics que, na definição de Luciano Floridi, nada mais é que:
Data ethics as a new branch of eth-
ics that studies and evaluates moral problems
related to data (including generation, recording,
curation, processing, dissemination, sharing
and use), algorithms (including artificial intel-
ligence, artificial agents, machine learning and
robots) and corresponding practices (including
responsible innovation, programming, hacking
and professional codes), in order to formulate
and support morally good solutions (e.g. right
conducts or right values).12
Em livre tradução, Data Ethics deve ser entendido

como “um novo ramo da ética que estuda e avalia problemas
morais relacionados a dados (incluindo geração, gravação,
curadoria, processamento, disseminação, compartilhamento
e uso), algoritmos (incluindo inteligência artificial, agentes
artificiais, aprendizado de máquina e robôs) e corresponden-
tes práticas (incluindo inovação responsável, programação,
hacking e códigos profissionais), a fim de formular e apoiar
soluções moralmente ou eticamente boas (por exemplo, con-
dutas corretas ou valores corretos).
Assim, a fim de vivenciar de forma socialmente
responsável tudo que as novas tecnologias nos reservam
em um futuro não muito distante, não bastará observar os
ditames da LGPD – embora este seja um ótimo começo –,
mas estabelecer limites e fazer uso ético dos dados pes-
Disponível em: <https://www.pactoglobal.org.br/pg/esg>. Acesso em: 22 jun. 2022.

11
12
Disponível em: <https://royalsocietypublishing.org/doi/10.1098/
rsta.2016.0360>. Acesso em: 06 jul. 2022.
168
soais é a tônica da sustentabilidade dos negócios. A ob-

servância à lei é apenas o primeiro passo. A estruturação
de um programa, com políticas e regras bem definidas, é
a base para que as regras estabelecidas sejam vivenciadas
de maneira plena e em todas as atividades que envolvam
dados pessoais nas organizações.
Por fim, não há que se falar em Data Ethics sem falar
em equidade. Este pilar deve ser observado para que não haja
discriminação através dos dados coletados ou nas soluções
criadas a partir deles, para que não se gere qualquer tipo de
discriminação, bem como para que BIAS sejam evitados e pa-
drões disciminatórios deixem de ser repetidos.
As empresas que deixarem de observar ou que te-
nham visto o programa de privacidade apenas como uma lei a
ser cumprida já estão em grande desvantagem competitiva. A
multa pecuniária ou as sanções administrativas, em geral, pre-
vistas no art. 52 da LGPD, não são as penalidades mais severas
a que uma organização ficará sujeita, sem sombra de dúvidas,
a exclusão do mercado pela inobservância adequada à lei e uso
ético dos dados certamente é muito mais danoso (e custoso!).
Por exemplo, um agente de tratamento que ob-
serva, respeita as regras de uso ético dos dados, está em
conformidade com a LGPD e todos os regulamentos apli-
cáveis, jamais contratará um fornecedor que deixe de ob-
servá-los, sob pena de trazer risco adicional ao seu ecos-
sistema. Da mesma forma funciona a cadeia de consumo.
Um cliente que entenda a importância do uso ético de
dados e que veja nisso um diferencial de produto ou ser-
viço, certamente observará esse aspecto em sua decisão
de compra. Se o produto ou serviço complaint tiver um
preço competitivo, certamente esta será a escolha do con-
sumidor final.
169
V. CONCLUSÃO
Por tudo que aqui foi dito, fica claro que a priva-
cidade é parte extremamente importante e indissociável dos
avanços tecnológicos que vêm ganhando relevância nos úl-
timos anos. Esse futuro, imaginado ou não, já chegou, e os
dados pessoais são combustível para o desenvolvimento de
muitas das aplicações e soluções que nos mantêm conectados
no mundo digital. Assim, não há que se falar na proibição
do uso dos dados pessoais, pois estes são essenciais para o
avanço tecnológico.
O equilíbrio entre as novas tecnologias e o uso dos da-
dos pessoais permeia a criação e a consolidação de um ecossis-
tema de regramento com responsabilidade e accountability, bem
como, de fiscalização e penalização dos detratores deste sistema.
Entretanto, as organizações que ficarem exclusiva-
mente atentas apenas aos requisitos da lei e não enxergarem
oportunidades de negócios na gestão e governança do uso dos
dados pessoais ou não fizerem deste tema um diferencial de seu
produto ou de serviço certamente ficarão atrás de outras que
assim o farão. Somam-se a esses fatores a ética e a responsabi-
lidade na utilização dos dados. Princípios previstos na LGPD,
como minimização e anonimização, devem ser cada vez mais
aplicados. Sem contar aquelas que sequer se deram conta de
que a lei veio para ficar e de que não observá-la é ignorar parte
dos anseios dos seus próprios clientes, o que culminará na sua
exclusão do mercado de negócios. Estas estão, certamente, fa-
dadas ao insucesso, seja por deixarem de cumprir a lei, seja por
não atenderem a autorregulação do próprio mercado.
Dessa forma, os projetos de adequação são o início
dessa jornada, mas ela ganhará corpo e mais importância, à me-
170
dida que as organizações se deem conta que é preciso proteger e

zelar pela privacidade das pessoas. Entendida a importância e a
magnitude do tema, ele se conectará a outros maiores, como os
valores da empresa e sua própria missão. Será objeto de discus-
são nos boards e nos comitês de ética e responsabilidade.
Por mais que pareça óbvio, proteger os dados pes-
soais é proteger as próprias pessoas. Essa é uma noção que
deve ser afirmada repetida vezes. O assunto interessa a todos,
porque fazer negócios de maneira ética e diligente não é ape-
nas cumprir a lei, é também cuidar das pessoas. São elas que
representam as empresas. São elas que compram. São elas
que vendem. São elas que criam produtos, desenvolvem so-
luções de tecnologia, desenham novas aplicações.
Portanto, muito mais do que usar e aplicar as novas
tecnologias, conectar pessoas, facilitar o acesso aos serviços,
ofertar produtos inimagináveis poucos anos atrás, é requisi-
to indispensável para a sobrevivência das organizações e das
pessoas, especialmente daquelas que precisam de maior pro-
teção, obedecer à legislação vigente e aos seus princípios e
encarar o tratamento dos dados pessoais com ética, uma vez
que somos, definitivamente, uma sociedade digital e precisa-
mos coexistir com o novo.
VI. REFERÊNCIAS
EVANGELISTA, Raphael. Veja 12 previsões acertadas pelos

Jetsons sobre a tecnologia do século 21. Tilt Uol, 04/05/2020.
Disponível em: <https://www.uol.com.br/tilt/noticias/re-
dacao/2020/05/04/11-previsoes-que-os-jetsons-acertaram-
-sobre-a-tecnologia-no-seculo-21.htm>. Acesso em: 27 jun. 2022.
171
LEONARDI, Marcel. Aspectos controvertidos entre a lei

geral de proteção de dados e o marco civil da internet. In:
PALHARES, Felipe (coord.). Temas atuais de proteção de
dados. São Paulo: Revista dos Tribunais, 2020. p. 217-243.
LIGUORI, Carlos. Direito e criptografia: direitos funda-
mentais, segurança da informação e os limites da regulação
jurídica na tecnologia. São Paulo: Saraiva, 2022.
MACENA, Rodrigo. Em breve, ‘Os Jetsons’ serão coisa do
passado. Olhar digital, 07/07/2021. Disponível em: <https://
olhardigital.com.br/2021/07/07/colunistas/em-breve-os-jet-
sons-serao-coisa-do-passado/>. Acesso em: 27 jun. 2022.
MALDONADO, Viviane (coord.). LGPD – Lei Geral de
Proteção de Dados Pessoais: manual de implementação.
São Paulo: Revista dos Tribunais, 2019.
MARQUES, Letícia. Elon Musk diz que robô humonoide da
Tesla ficará pronto até setembro. Tilt Uol, 24/06/2022. Dis-
ponível em: <https://www.uol.com.br/tilt/noticias/reda-
cao/2022/06/24/robo-humanoide-tesla-pronto-setembro.
htm>. Acesso em: 01 jul. 2022.
Wimmer, Miriam. Autoridades de proteção de dados pessoais
no mundo: fundamentos e evolução na experiência comparada.
In: PALHARES, Felipe (coord.). Temas atuais de proteção
de dados. São Paulo: Revista dos Tribunais, 2020. p. 153-170.
172
A RESPONSABILIDADE CIVIL NO TRATAMEN-

TO DE DADOS PESSOAIS – DIÁLOGOS ENTRE A
LGPD E O CDC
Denis Brum Marques1

Ramon Terroso Carneiro2
Lorrane Tolentino Custódio3
I. INTRODUÇÃO
O tratamento de dados pessoais sensíveis é um dos

principais temas jurídicos de nossa geração. A importância
dessas informações é de conhecimento público, ao ponto de
já possuirmos alguns clichês como a frase “data is the new
1
Head de Tech Litigation do Lima Feigelson Advogados. Pós-graduado em
processo civil pela Universidade do Estado do Rio de Janeiro (UERJ/RJ) e es-
pecialista em estruturação de departamentos jurídicos pelo Instituto de Ensino
e Pesquisa (INSPER/SP). Pós-graduando em Advocacia de Alta Performance
pela Pontifícia Universidade Católica de Minas Gerais (PUC/MG). É espe-
cialista na condução de times estratégicos, unindo a construção de modelos
procedimentais que atendam carteiras de volume (workflow), sem prescindir
de metodologias tipicamente estratégicas, como mapeamento da carteira por
dashboard, visual law e metodologias ágeis de gerenciamento de projetos.
2
Graduado em Direito pela Universidade Federal da Paraíba, pós-gra-
duando em Direito dos Contratos pela PUC-RJ e membro do Grupo de
Estudos Avançados em Arbitragem da USP (GEAARB). Advogado inte-
grante da equipe de Dispute Resolution do Lima Feigelson Advogados.
3
Formada em direito na Pontifícia Universidade Católica de Minas Gerais, advo-
gada na Méliuz S.A. Possui atuação generalista no consultivo cível, consumerista
e contratual do Méliuz e de todo o grupo CASH3, acompanha as demandas socie-
tárias e de contencioso administrativo e é responsável pelas inovações do setor ju-
rídico, como Legal Ops e implementação de novos softwares. Entusiasta em novas
tecnologias, na Advocacia 4.0 e em temas relacionados a dados e privacidade.
173
oil”4 atribuída ao Matemático Britânico Clive Humby. É na-

tural, portanto, que o contorno das relações sociais modernas
seja moldado pelas novas formas de transmissão de dados
pessoais, que conferem substância a infinidade de conexões
sociais possíveis.
Nesse sentido, o planejamento de departamentos jurí-
dicos modernos deve passar pelo contencioso de dados, que
não necessariamente estará segmentado no nicho de startup`s
ou companhias disruptivas, já que essa temática permeia os
ramos tradicionais dos Direitos Público e Privado.
O surgimento da Lei Geral de Proteção de Dados Pes-
soais (“LGPD”) – Lei nº. 13.709, de 14 de agosto de 2018 –
inaugurou um novo regime jurídico no Brasil, disciplinando
pontos fundamentais para o desenvolvimento de um mercado
saudável baseado na troca contínua de informações.
Um dos grandes debates doutrinários da atualidade re-
side na intersecção dessa nova legislação com o contencioso
privado, a saber: quais são as características da responsabi-
lidade civil prevista na Lei Geral de Proteção de Dados Pes-
soais brasileira.
Entender, sobretudo, o regime de responsabilidade civil
previsto na LGPD é essencial para avaliar os riscos e custos
de diversos segmentos do mercado na atualidade, tendo em
vista que o core business5 de muitas empresas depende irre-
mediavelmente do tratamento de dados pessoais, incluindo
os sensíveis – tais como as redes sociais e corporações de
Recursos Humanos (RH).
Tradução Livre: dados são o novo petróleo.

4
Tradução: Negócio Principal

5
174
Nas relações entre o mercado6 e os consumidores, esse

debate é ainda mais acalorado, ante a necessidade de interpre-
tar a LGPD em conjunto com o Código de Defesa do Consu-
midor (CDC) – Lei nº. 8.070/1990 – legislação cujo intuito é
equilibrar a assimetria de poder (leia-se: informação) entre o
público e os fornecedores (latu sensu).
O presente artigo pretende lançar luz sobre a regulamen-
tação da responsabilidade civil na LGPD que, a depender do
caso concreto, remeterá ao Código de Defesa ao Consumidor,
no caso das relações de consumo, abordando aspectos práticos
que devem influenciar na forma como os serviços e os produ-
tos são produzidos e entregues no mercado nacional7.
II. PRESSUPOSTOS PARA INTERPRETAR A RES-

PONSABILIDADE CIVIL NO ÂMBITO DA LGPD
O legislador brasileiro concedeu especial atenção para

a responsabilidade civil na proteção de dados pessoais. Na
LGPD, a matéria foi destacada e disciplinada na Seção III
do Capítulo IV, dos artigos 42 a 45. Apesar disso, os deveres
de conduta dos agentes de tratamento8 foram distribuídos por
6
Utilizado como sinônimo de empresas que oferecem produtos e serviços ao público.
7
Fala-se em mercado nacional porque a LGPD limita a sua competência
as operações de tratamento realizadas no território nacional ou que tenha
o objetivo de fornecer serviços ou produtos para indivíduos localizado no
território nacional – Vide: “Art. 3º: Esta Lei aplica-se a qualquer operação
de tratamento realizada por pessoa natural ou por pessoa jurídica de direito
público ou privado, independentemente do meio, do país de sua sede ou do
país onde estejam localizados os dados, desde que: I - a operação de trata-
mento seja realizada no território nacional; II - a atividade de tratamento
tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o
tratamento de dados de indivíduos localizados no território nacional.”
175
todo o texto legal, demonstrando que a melhor hermenêuti-

ca para a compreensão adequada do tema é a interpretação
sistemática da lei. Como destacado por Walter Aranha Capa-
nema (2020, p.165)9, a “responsabilidade surge do exercício
da atividade de proteção de dados que viole a ‘legislação de
proteção de dados’”, ou seja, “o legislador reconhece que a
proteção de dados é um microssistema, com normas previstas
em diversas leis, sendo a LGPD a sua base estrutural”
O tema dos microssistemas jurídicos é especialmente
desafiador na Doutrina, sobretudo na esteira do pensamento
de Gustavo Tepedino e Rodrigo da Guia Silva (2019)10 acer-
ca da completude do ordenamento jurídico, mas fato é que a
LGPD inaugurou um novo regime de responsabilidade civil
no Brasil, o qual, embora não deva ser lido isoladamente – a
8
Segundo o art. 5º, IX, da LGPD, os agentes de tratamento são o contro-
lador e o operador.
9
CAPANEMA, WALTER ARANHA – A responsabilidade civil na Lei
Geral de Proteção de Dados – Cadernos Jurídicos, São Paulo, ano 21, nº.
53, p. 163-170, Janeiro-Março/2020.
10
Segundo os professores: “A rigor, a enunciação de novo ramo do direito
voltado especificamente para as questões da robótica e da inteligência arti-
ficial traz consigo o grave risco de tratamento assistemático da matéria. Os
fundamentos para a tutela das vítimas de danos injustos não devem ser bus-
cados em novos e esparsos diplomas normativos, mas sim – e sempre – no
ordenamento jurídico em sua unidade e complexidade. A disciplina ordinária
da responsabilidade civil – tanto em relações paritárias quanto em relações
de consumo –, embasada na tábua axiológica constitucional, serve de funda-
mento suficiente para o equacionamento dos problemas referentes aos danos
causados por sistemas autônomos. Advirta-se, por oportuno: o tratamento sis-
temático ora propugnado deve levar em consideração o ordenamento jurídico
em sua unidade e complexidade, sem se cair na armadilha da enunciação de
um (mais um chamado micro) sistema próprio de valores da lex robótica”.
TEPEDINO, Gustavo; SILVA, Rodrigo da Guia. Desafios da inteligência
artificial em matéria de responsabilidade civil. Revista Brasileira de Direito
Civil – RBDCivil, Belo Horizonte, v. 21, p. 61-86, jul./set. 2019.
176
fim de evitar a criação de um novo microssistema – precisa

prevalecer na interpretação dos conflitos levados ao judiciá-
rio, sob pena de esvaziar o esforço legislativo direcionado
para atualizar o ambiente normativo do país.
É importante ressaltar que o entendimento de que a LGPD
rompeu com a estrutura binária dos regimes de responsabilidade
civil então existentes (responsabilidade subjetiva ou objetiva) é
um pressuposto teórico necessário para a evolução do raciocínio
construído no presente trabalho, mas talvez seja o principal ca-
nalizador de divergências doutrinárias sobre o tema.
Enquanto a parte da doutrina entende que a LGPD adotou
o regime subjetivo da responsabilidade jurídica11, uma parcela
significativa dos estudiosos defende a tese oposta (da respon-
sabilidade objetiva)12, assim, a melhor saída para a controvérsia
parece ter sido encontrada por Bruno Bioni e Daniel Dias (2020,
p.03)13, segundo os quais é perfeitamente viável a coexistên-
cia de uma pluralidade de regimes de responsabilidade jurídi-
ca, motivo pelo qual esse tema não deva centralizar os debates
sobre a nova lei. Com efeito, o desafio consiste em ´responder
essencialmente uma pergunta: se o regime da responsabilidade
é objetivo ou subjetivo”. Mas Bioni entende que “mais impor-
tante, portanto, do que essa tentativa de classificação binária de
responsabilidade, é analisar mais de perto e, em detalhes, os ele-
11
Ver: GUEDES, Gisela Sampaio da Cruz. Regime de responsabilidade
adotado pela lei de proteção de dados brasileira. São Paulo: Revista dos
Tribunais, nov. 2019, p. 167-182, um dos mais extensos sobre a matéria,
visa essencialmente responder a essa pergunta.
12
Ver em: NOVAKOSKI, Andre Luis Mota. NASPOLINI, Samyra Hay-
dêe Dal Farra. Responsabilidade Civil na LGPD: Problemas e Soluções.
CONPEDI LAW REVIEW. Evento Virtual, V. 6. n. 1. pg. 158-174, jan/dez.
13
BIONI, B.; DIAS, D. Responsabilidade civil na proteção de dados pessoais:
construindo pontes entre a Lei Geral de Proteção de Dados Pessoais e o Códi-
go de Defesa do Consumidor. civilistica.com, v. 9, n. 3, p. 1-23, 22 dez. 2020.
177
mentos normativos que restringiriam ou alargariam a discussão

de culpabilidade para fins de responsabilização.”
Nessa esteira, cumpre mencionar o trabalho produzi-
do por Maria Celina Bodin de Moraes (2019, p. 06)14, que
formulou, à luz dessa legislação, o conceito de “responsa-
bilização ativa” ou “proativa”, ilustrando um dos caminhos
hermenêuticos possíveis para a nova norma, diferentes dos
conceitos estáticos de objetividade ou subjetividade que po-
larizaram a doutrina brasileira. Segundo a autora o legislador
não optou pelo regime da responsabilidade objetiva “que se-
ria talvez mais adequado à matéria dos dados pessoais”, mas
buscou “acima de tudo, evitar danos que sejam causados”.
Não se ignora que a teoria da “responsabilização ativa”
é minoritária na Academia. Todavia, a sua existência é um
indício da plausibilidade na formulação de regimes especiais
de responsabilidade civil, criados para responder a demandas
sociais excepcionais, como são as relações de tratamento de
dados pessoais - questão contemporânea, dinâmica, que urge
por soluções que detenham os mesmos predicados.
III. O DIÁLOGO ENTRE A RESPONSABILIDADE

CIVIL NA LGPD E NO CDC
Antes de explorarmos as hipóteses de responsabiliza-

ção civil dos agentes de tratamento, é fundamental esclarecer
o porquê da necessidade de construção de uma ponte entre a
lei de dados pessoais e o Código de Defesa do Consumidor.
BODIN DE MORAES, Maria Celina. LGPD: um novo regime de res-

14
ponsabilização civil dito “proativo”. Editorial à Civilistica.com. Rio de

Janeiro: a. 8, n. 3, 2019.
178
A resposta para essa questão está na literalidade do art.

45 da LGPD, segundo o qual: “As hipóteses de violação do
direito do titular no âmbito das relações de consumo per-
manecem sujeitas às regras de responsabilidade previstas na
legislação pertinente”.
Será necessário, portanto, o diálogo constante entre essas
fontes quando a relação sob análise for de consumo. Para tanto,
discorda-se inicialmente da posição de parte da doutrina bra-
sileira cujo entendimento é no sentido de que, no âmbito das
relações consumeristas, a LGPD terá papel residual ao CDC15.
Em verdade, a perspectiva que poderá fornecer a melhor
solução jurídica para os desafios levados ao crivo jurisdicional
segue a linha do “diálogo das fontes” como apresentado, há mui-
to, por Cláudia Lima Marques (2004, p.29)16, segundo quem:
Hoje, a superação de paradigmas foi subs-

tituída pela convivência ou coexistência
dos paradigmas, como indica nosso título.
Efetivamente, raramente encontramos hoje
a revogação expressa, substituída pela in-
certeza da revogação tácita indireta, atra-
Sobre o tema, asseveram Camila Ferrão dos Santos; Jeniffer Gomes da

15
Silva e Vinicius Padrão, que: “O regime da LGPD, em última instância,

apresenta um papel residual, sendo aplicável, por exemplo, nas relações
entre associações e associados ou ainda entre empregadores e empre-
gados.”. Ferrão dos Santos, C., Gomes da Silva, J., & Padrão, V. (2021).
Responsabilidade civil pelo tratamento de dados pessoais na Lei Geral de
Proteção de Dados. REVISTA ELETRÔNICA DA PGE-RJ, 4(3).
MARQUES, Cláudia Lima. Superação das antinomias pelo Diálogo das

16
Fontes: O modelo brasileiro de coexistência entre o Código de Defesa do

Consumidor e o Código Civil de 2002. Revista da Escola Superior da Ma-
gistratura de Sergipe (ESMESE), nº 7, 2004, p. 29.
179
vés da ideia de “incorporação”, como bem

expressa o art. 2.043 do novo Código Ci-
vil. Há mais convivência de leis com cam-
pos de aplicação diferentes, do que exclu-
são e clareza. Seus campos de aplicação,
por vezes, são convergentes e, em geral
diferentes, mas convivem e coexistem em
um mesmo sistema jurídico que deve ser
ressistematizado. O desafio é este, aplicar
as fontes em diálogo de forma justa, em um
sistema de direito privado plural, fluido,
mutável e complexo.
Ora, não se discorda da pertinência da incidência con-

junta do CDC e da LGPD nos casos de indenização por danos
decorrentes do tratamento de dados pessoais em relações de
consumo, mas faz-se uma necessária ressalva sobre a hierar-
quização forçada do CDC sobre a LGPD, aprioristicamente
e de forma planificada, tendo em vista que dificilmente uma
legislação de aproximadamente 32 anos oferecerá soluções
melhores (no sentido atribuído por Cláudia Lima Marques:
“mais justas”) do que a nova lei de proteção de dados pes-
soais, publicada há menos de 05 anos e alinhada com as me-
lhores práticas internacionais sobre o tema.
A propósito, o próprio CDC estabelece a necessidade de
coexistência das normas consumeristas com o restante da legis-
lação interna ordinária (CDC, art. 7º)17, provando não ser um
fim em si mesmo – no sentido de ter inaugurado um micros-
sistema autônomo do restante do ordenamento jurídico pátrio.
17
CDC. Art. 7° Os direitos previstos neste código não excluem outros de-
correntes de tratados ou convenções internacionais de que o Brasil seja
signatário, da legislação interna ordinária, de regulamentos expedidos pe-
las autoridades administrativas competentes, bem como dos que derivem
dos princípios gerais do direito, analogia, costumes e equidade.
180
Portanto, como pressuposto interpretativo do texto da

LGPD, será adotado, no que couber, o disposto no CDC, e
não o contrário.
IV. A RESPONSABILIDADE CIVIL NA LGPD
Como dito, a responsabilidade civil ganhou uma seção ex-

clusiva na LGPD, a começar pelo art. 42, cuja redação, desde o
caput, antecipa cenários jurídicos de direito material e processual.
De pronto, é possível perceber que a legislação restrin-
giu, de forma alternativa (ou seja: “ou um ou o outro”), o es-
copo da responsabilidade civil ao controlador ou o operador,
definidos respectivamente em seu artigo 5º, incisos VI e VII.
Isso não significa que seja impossível de litigar contra ambos
os agentes de tratamento em ação indenizatória. As exceções
contidas nos incisos I e II do §1º do art. 42 abrem o caminho
para que as vítimas de danos decorrentes do tratamento irre-
gular de dados pessoais tenham mais opções para buscar a
devida indenização. Além do mais, tratando-se de relação de
consumo, é coerente que seja aplicado a solidariedade previs-
ta nos artigos 12 e 18 do CDC.
Outro aspecto digno de relevo é que, apesar da inegável se-
melhança, não há na redação do art. 42 da LGPD, caput, a expres-
são “independentemente da existência de culpa”, como consta nos
mencionados artigos 12 e 18 do CDC. Além disso, está presente
a condicionante “em violação à legislação de dados pessoais”. A
soma desses dois fatores (ausência de previsão expressa da res-
ponsabilidade objetiva e necessidade de ato antijurídico para o
surgimento do dever de indenizar) é um prato cheio para os adep-
tos da teoria da responsabilidade civil subjetiva, já que a conduta
181
culposa é um pré-requisito do dever de indenizar, como leciona

Sergio Cavalieri Filho (2012, p. 19)18. Vejamos:
Sendo o ato ilícito, conforme já assinalado,
o conjunto de pressupostos da responsabili-
dade, quais seriam esses pressupostos na res-
ponsabilidade subjetiva? Há primeiramente
um elemento formal, que é a violação de um
dever jurídico mediante conduta voluntária;
um elemento subjetivo, que pode ser o dolo
ou a culpa; e, ainda, um elemento causal-
-material, que é o dano e a respectiva rela-
ção de causalidade. São esses três elementos,
apresentados pela doutrina francesa como
pressupostos da responsabilidade civil subje-
tiva, podem ser claramente identificados no
art. 186 do Código Civil, mediante simples
análise do seu texto (...). Portanto, a partir
do momento que alguém, mediante conduta
culposa, viola direito de outrem e causa-lhe
dano, está-se diante de um ato ilícito, e des-
se ato deflui o inexorável dever de indenizar,
consoante o art. 927 do Código Civil.
Entretanto, embora a LGPD e o CDC prevejam regimes

distintos de responsabilidade civil, a legislação consumerista
poderá ajudar a preencher as lacunas interpretativas da lei de
dados pessoais. Esse ponto em específico ganha relevo no
texto do art. 44 da LGPD.
A leitura conjunta dos artigos 42 e 44 da lei de dados pessoais
nos leva a conclusão de que a LGPD previu 02 (duas) hipóteses de
Cavalieri Filho, Sergio – Programa de responsabilidade civil/ Sergio Ca-

18
valieri Filho – 10. Ed. – São Paulo: Atlas, 2012.
182
responsabilização civil: (i) por violação à legislação de dados pes-

soais e (ii) por violação da segurança dos dados pessoais. Ocorre
que a redação do art. 44, caput, foi infeliz na definição do con-
ceito de tratamento irregular de dados pessoais, posto que, o não
fornecimento da segurança que o titular dos dados pessoais pode
esperar já é, por si só, um descumprimento da legislação, capaz de
fundamentar uma pretensão indenizatória. Como destacado por
Maria Celina Bodin de Moraes (2019, p. 05)19:
Trata-se do conceito de “prestação de con-
tas”. Esse novo sistema de responsabilidade,
que vem sendo chamado de “responsabiliza-
ção ativa” ou “proativa”, encontra-se indica-
do no inciso X do art. 6º, que determina às
empresas não ser suficiente cumprir os arti-
gos da lei; será necessário também “demons-
trar a adoção de medidas eficazes e capazes
de comprovar a observância e o cumprimen-
to das normas de proteção de dados pessoais
e, inclusive, a eficácia dessas medidas”. Por-
tanto, não descumprir a lei não é mais sufi-
ciente; é preciso “proativamente” prevenir a
ocorrência de danos.
Até agora, como é sabido, as empresas sim-

plesmente cumprem o expediente fornecendo
um kit de documentos (formulários de infor-
mações e consentimento, política de privaci-
dade, documento de segurança etc.) aos quais
ninguém realmente presta atenção. A partir de
2020, quando a lei entra em vigor plenamen-
te, qualquer organização a ela sujeita terá que
provar: i) que avaliou e, se necessário, redese-
Bodin de Moraes, Maria Celina. LGPD: um novo regime de respon-

19
sabilização civil dito “proativo”. Editorial à Civilistica.com. Rio de

Janeiro: a. 8, n. 3, 2019.
183
nhou adequadamente o processamento de da-

dos pessoais; ii) que as medidas de segurança
implementadas são adequadas e eficazes; iii)
que aplica uma política de privacidade interna
com obrigações claras, ações concretas vin-
culadas a cada uma e que foram designados
os responsáveis pelo cumprimento; iv) que
nomeou um encarregado e que v) exige esse
mesmo cumprimento responsável de seus
funcionários e na sua cadeia de terceirização.
Além disso, um novo mapa de consequências
foi introduzido em caso de descumprimentos:
i) em questões administrativas, o montante
das sanções previstas no regulamento indica
a relevância que a proteção de dados pessoais
adquirirá: até 50 milhões de reais ou 2% do
faturamento anual global da empresa para as
infrações mais graves (art. 52); ii) a criação
de uma nova variedade de ações coletivas de
responsabilidade civil; iii) a obrigação de co-
municar à Agência e às partes interessadas os
eventos de “violação de dados” ou violações
da segurança, o que abrirá o caminho para no-
vas reivindicações de indenização pelas em-
presas e indivíduos afetados. Nesse sentido, o
direito à indenização por danos por infração
não é novo; a novidade é que será mais fácil
provar o evento prejudicial que determina a
responsabilidade. A discussão restará dentro
do perímetro dessa responsabilidade, entre
outros fatores.
Para estabelecer os parâmetros de segurança que o titular

dos dados pessoais pode esperar dos agentes de tratamento, os
precedentes relacionados à indenização por serviço defeituoso,
com fundamento no art. 14, §1º do CDC podem indicar um
norte a ser seguido, tendo em vista que a redação dos incisos do
art. 44 da LGPD basicamente espelha a legislação consume-
184
rista. A análise desses riscos necessariamente será casuística,

como explicam Bruno Bioni e Daniel Dias (2020, p. 16)20:
(...) a (in)evolução do texto da LGPD não ni-
vela toda e qualquer atividade de tratamento
de dados como sendo de risco exacerbado.
Pelo contrário, demanda-se uma análise ca-
suística para se desdobrar um juízo de valor
sobre o modo pelo qual deve ser realizado um
tratamento de dados e os riscos que dele ra-
zoavelmente se esperam. Alguns exemplos e
considerações podem ser elucidativos. De um
lado, é notório que dados de cartão de crédi-
to detêm um risco maior diante do interesse
de terceiros fraudadores do que em relação a
endereços de e-mail. A mesma coisa com re-
lação ao CPF do que outros dados cadastrais
para fins de fraudes bancárias. De outro, é
uma análise que não olha para o porte ou o ta-
manho do agente de tratamento de dados, mas
que é voltada para a atividade de tratamento
de dados em si. (...) Os agentes devem, assim,
ajustar suas medidas de segurança para cor-
responder à probabilidade e à gravidade que
violações podem assumir em face do impacto
a direitos e liberdades dos titulares dos dados.
(...) A política legislativa da LGPD reconhece
que seu objeto constitui uma plêiade de rela-
ções jurídicas que apresentam uma multiplici-
dade de efeitos colaterais distintos, devendo-
-se investigar a culpa do agente de tratamento
de dados de forma casuística.
20
BODIN DE MORAES, Maria Celina. LGPD: um novo regime de
responsabilização civil dito “proativo”. Editorial à Civilistica.com. Rio
de Janeiro: a. 8, n. 3, 2019.
185
Em caso de pretensões indenizatórias decorrentes de vul-

nerabilidades na segurança dos agentes de tratamento será neces-
sário, então, verificar se os agentes atenderam as normas de segu-
rança existentes e documentadas à época e utilizaram os sistemas
de proteção proporcionais à densidade do tratamento dos dados
pessoais (com base nos parâmetros do art. 44 da LGPD) necessá-
rio para a sua atividade. Nas palavras de Walter Aranha Capanema
(2020, p. 168): “se houve um dano a dados pessoais decorrentes
do não-atendimento de uma norma técnica, relativa a uma vulne-
rabilidade já conhecida e documentada, fica, assim, evidenciada a
negligência do agente de tratamento”. De outra ponta, “é possível
que o dano seja causado pelo emprego das chamadas ‘vulnerabi-
lidades não-documentadas’, também conhecidas como 0-day21”,
situação na qual “seria incabível a responsabilização civil, afinal,
se não se sabe ainda da sua existência, não tem como exigir o de-
ver de segurança”. Em conclusão, “não é possível se atribuir aos
agentes de tratamento o dever de segurança/proteção dos dados
pessoais em toda e qualquer hipótese, mas apenas no estado da
arte/técnica existente à época”. O autor, ademais, destaca que “a
obrigação de segurança é de meio, e não de resultado. É impos-
sível ao agente de tratamento garantir, com 100% de certeza, que
os dados dos titulares estarão seguros contra qualquer incidente. É
preciso, portanto, razoabilidade”.
A percepção de que a LGPD adotou um sistema de cul-
pa presumida é importante, como indica a expressão “só não
serão responsabilizados” contida em seu artigo 43, onde foram
listadas as excludentes da responsabilidade civil. Nas lições
de Gustavo Tepedino, Aline Terra e Gisela Sampaio (2020)21:
“A redação com conotação negativa (‘só não será responsável
TEPEDINO, Gustavo; TERRA, Aline de Miranda Valverde; GUEDES,

21
Gisela Sampaio da Cruz. Fundamentos do direito civil: responsabilidade

civil. Rio de Janeiro: Forense, 2020. v.4. E-book
186
quando’), empregada pelo legislador no caput do art. 43 da

LGPD, sugere a adoção de um sistema de culpa presumida”.
Os autores explicam que “presume-se a culpa do agente, mas
esta pode ser afastada se ele conseguir demonstrar que obser-
vou o standard de conduta esperado, empregando medidas
idôneas para evitar o dano. A presunção é, portanto, relativa.”
O artigo 43 deve ser interpretado conjuntamente com os
artigos 6º, VII, VIII e X, 10 § 3º, 18, 32, 37, 38, 46, 47, 48, 49,
50 e 51 que representam princípios, medidas técnicas, organi-
zacionais e administrativas e reúnem requisitos mínimos aptos
a demonstrar a efetividade das medidas implementadas pelos
agentes de tratamento de dados pessoais. Assim, a aplicação
dos princípios da segurança (art. 6º, VII) e da prevenção (art.
6º, VIII) cumulados com os artigos 46, 47, 48 e 49 apontam
para a obrigatoriedade de implementação de medidas técni-
cas capazes de assegurar os requisitos de qualidade dos dados,
como Confidencialidade, Integridade e Disponibilidade — que
no âmbito da Segurança da Informação é conhecida como tría-
de CID —, dos dados pessoais durante todo o ciclo de vida, o
que se denota através da leitura detida do artigo 46, em que o
legislador aponta um rol de condutas contra as quais tais medi-
das devem proteger os dados pessoais, veja-se:
Os requisitos de qualidade dos dados pessoais são
diametralmente opostos às condutas que devem ser combati-
das, veja-se: (i) quebra da confidencialidade — ocorre quando
há acessos não autorizados e comunicação dos dados pessoais;
(ii) quebra da disponibilidade — situações acidentais ou ilí-
citas que resultem na destruição e perda dos dados pessoais;
(iii) quebra da Integridade — situações acidentais ou ilícitas
que resultem na alteração dos dados pessoais, sem prejuízo à
análise de qualquer outra forma de tratamento inadequado ou
ilícito. Assim, uma vez constatada eventual quebra de um dos
187
requisitos de qualidade dos dados, as organizações estão diante

de um Incidente de Segurança que importará em uma Violação
de Dados, caso envolva dados pessoais.
Não por outra razão é que devem ser adotadas medidas
de boas práticas de segurança da informação, como a gestão de
ativos, classificação da informação, tratamento de mídias, geren-
ciamento de acesso do usuário, controle de acesso ao sistema de
aplicação, controles criptográficos, registros e monitoramentos,
controle de software operacional dentre outras medidas referen-
ciadas nas normas ABNT NBR ISO/IEC 27.001/2013, ABNT
NBR ISO/IEC 27.701/2019 (extensão da ABNT NBR ISO/IEC
27.001 e ABNT NBR ISO/IEC 27.002 para gestão da privacidade
da informação — Requisitos e diretrizes) que objetivam assegurar
de maneira eficiente e suficiente o tratamento de dados pessoais.
Por outro lado, o princípio da responsabilização e pres-
tação de contas (art. 6º, X) cumulado com os artigos 10 § 3º,
32, 37 e 38, que tratam das hipóteses de elaboração obrigatória
de documentos regulatórios, como Relatório de Impacto a Pro-
teção de Dados (RIPD), Registro das Operações de Tratamen-
to de Dados Pessoais (RopA) que somados aos artigo 18, que
trata dos direitos dos titulares de dados pessoais, remetem às
medidas organizacionais e administrativas tratadas nos artigos
50 e 51 que refletem às boas práticas de Governança de Dados
Pessoais que devem ser adotadas pelos agentes de tratamento.
Nesse sentido, a implementação de um Programa de
Privacidade que demonstre o compromisso do controlador na
emissão de políticas internas que refletem o cumprimento de
normas e boas práticas relativas à proteção de dados, estabe-
leça políticas e salvaguardas adequadas e relação transparen-
te que assegure os direitos dos titulares, que se submetam as
operações de tratamento de dados pessoais à auditoria interna
e externa, que implementem plano de remediação e resposta
188
a incidentes, de comunicação à ANPD e demais órgãos regu-

ladores e plano de melhoria contínua do Programa de Privaci-
dade (art. 50 da LGPD), são de extrema relevância.
Logo, as organizações que, na ocasião de eventual apura-
ção de responsabilidade civil decorrente de incidente de seguran-
ça que envolvam dados pessoais, lograrem êxito em comprovar
a adoção e medidas técnicas, organizacionais e administrativas
apropriadas, poderão arguir a excludente de responsabilidade
por fato de terceiros22, propugnando pela redução do quantum
indenizatório ou afastamento integral da responsabilidade civil.
Isso significa que, para equilibrar a balança entre os
agentes de tratamento e os titulares dos dados pessoais, a
responsabilização civil na LGPD parte da presunção de que
os agentes realizaram o tratamento atribuído pelo titular e de
que houve irregularidade nesse tratamento, bastando, portan-
to, que o titular demonstre o dano sofrido e o nexo causal
entre o tratamento alarmado e o dano reclamado.
O esforço pela equalização das posições jurídicas é tamanho
que essas presunções não excluem a facilitação do ônus da prova
para a parte hipossuficiente (não financeiramente, mas em relação à
capacidade de produzir provas em concreto), presente tanto no art.
42, §2º da LGPD quanto no art. 6º, inciso VIII, do CDC.
A principal diferença entre as excludentes da responsabi-
lidade civil na LGPD em relação ao CDC é que na lei de dados
pessoais, se o agente demonstrar que seguiu os standards neces-
sários para o tratamento, não será responsabilizado por eventuais
danos sofridos por terceiros, enquanto nas relações de consumo
latu sensu, as excludentes estão limitadas à inexistência do defeito
alegado ou à culpa exclusiva de terceiros (CDC, art. 14, §3º).
LAGO JÚNIOR, Antônio. Responsabilidade civil por atos ilícitos na

22
Internet. São Paulo: Ed. LTr, 2001.
189
Com essa diferenciação em mente, é lógico que mesmo

nas relações de consumo, o regime de responsabilidade civil
poderá ser alterado conforme o objeto contratado. Há contratos
cujo objeto é o tratamento de dados pessoais puro e simples,
como no já mencionado exemplo da startup que oferece so-
luções de automação de diagnósticos e prognósticos na área
da oncologia. Nesses casos, a falha na prestação dos serviços
tenderá a ser remediada pelo regime geral da responsabilidade
previsto no CDC. Por outro lado, a esmagadora maioria dos
serviços demandará alguma medida de tratamento de dados
pessoais para que seja viabilizado. Deve ser observado que o
objeto do contrato é a prestação de um serviço qualquer, en-
quanto o tratamento de dados pessoais é um mero instrumento
(meio) no seu processo de realização. A medida mais justa nes-
sas hipóteses, aparentemente, reside nos standards de conduta
da LGPD e no seu regime especial de responsabilidade civil.
V. CONCLUSÃO
Como exposto, a doutrina ainda é divergente sobre o

tema, mas para discorrer sobre o instituto da responsabilidade
civil no âmbito da LGPD é necessária uma visão abrangente
de todo o ordenamento jurídico, em conjunto com o contexto
histórico atravessado pela sociedade, para que o Poder Judi-
ciário possa fornecer soluções que verdadeiramente corres-
pondam às expectativas dos jurisdicionados.
A LGPD adotou critérios próprios para a aferição da res-
ponsabilidade civil dos agentes de tratamentos de dados pessoais,
convergindo e divergindo do CDC – e das demais legislações
ordinárias – conforme a necessidade enxergada pelo legislador
para melhor tutelar os bens jurídicos objeto da nova lei.
190
A limitação estática aos regimes da responsabilidade ci-

vil subjetiva e objetiva parece não mais atender à complexidade
das relações comerciais modernas, que são dotadas de nuances
impossíveis de serem previstas pelo legislador há 03 décadas.
É nesse sentido que devem ser direcionadas as discussões
relativas ao diálogo entre a LGPD e o CDC. Reconhecer o
protagonismo à lei posterior e mais específica para a solução de
conflitos modernos não significa mitigar os avanços históricos de
proteção do consumidor contra práticas abusivas, mas verdadeira-
mente respeitar a ação do tempo sobre o Direito, adequando o orde-
namento aos novos contornos contratuais e as suas especificidades.
Fato é que as duas normas podem e devem coexistir, ca-
bendo, sobretudo à jurisprudência dos tribunais, a delimitação
mais exata das doses de aplicação de cada uma delas nos casos
concretos, tendo como norte os princípios da razoabilidade e
proporcionalidade, para que o ordenamento brasileiro seja con-
vidativo ao desenvolvimento contínuo de novas tecnologias.
VI. BIBLIOGRAFIA
BRASIL. Lei nº. 8.078, de 11 de setembro de 1990. Código

de Defesa do Consumidor. Dispõe sobre a proteção do consu-
midor e dá outras providências.
BRASIL. Lei nº. 13.709, de 14 de agosto de 2018. Lei Geral
de Proteção de dados pessoais (LGPD.
CAPANEMA, WALTER ARANHA – A responsabilidade ci-
vil na Lei Geral de Proteção de Dados – Cadernos Jurídicos,
São Paulo, ano 21, nº. 53, p. 163-170, Janeiro-Março/2020.
TEPEDINO, Gustavo; SILVA, Rodrigo da Guia. Desafios
da inteligência artificial em matéria de responsabilidade
civil. Revista Brasileira de Direito Civil – RBDCivil, Belo
Horizonte, v. 21, p. 61-86, jul./set. 2019.
191
GUEDES, Gisela Sampaio da Cruz. Regime de responsabi-

lidade adotado pela lei de proteção de dados brasileira. São
Paulo: Revista dos Tribunais, nov. 2019.
NOVAKOSKI, Andre Luis Mota. NASPOLINI, Samyra
Haydêe Dal Farra. Responsabilidade Civil na LGPD: Pro-
blemas e Soluções. CONPEDI LAW REVIEW. Evento Vir-
tual, V. 6. n. 1. pg. 158-174, jan/dez.
BIONI, B.; DIAS, D. Responsabilidade civil na proteção
de dados pessoais: construindo pontes entre a Lei Geral
de Proteção de Dados Pessoais e o Código de Defesa do
Consumidor. civilistica.com, v. 9, n. 3, p. 1-23, 22 dez. 2020.
BODIN DE MORAES, Maria Celina. LGPD: um novo re-
gime de responsabilização civil dito “proativo”. Editorial à
Civilistica.com. Rio de Janeiro: a. 8, n. 3, 2019.
FERRÃO DOS SANTOS, C.; GOMES DA SILVA, J.; PA-
DRÃO, V. Responsabilidade civil pelo tratamento de da-
dos pessoais na Lei Geral de Proteção de Dados. REVIS-
TA ELETRÔNICA DA PGE-RJ, [S. l.], v. 4, n. 3, 2021.
MARQUES, Cláudia Lima. Superação das antinomias pelo

Diálogo das Fontes: O modelo brasileiro de coexistência
entre o Código de Defesa do Consumidor e o Código Civil
de 2002. Revista da Escola Superior da Magistratura de Ser-
gipe (ESMESE), nº 7, 2004, p. 29.
CAVALIERI FILHO, Sergio – Programa de responsabilidade
civil/ Sergio Cavalieri Filho – 10. Ed. – São Paulo: Atlas, 2012.
TEPEDINO, Gustavo; TERRA, Aline de Miranda Valverde; GUE-
DES, Gisela Sampaio da Cruz. Fundamentos do direito civil: res-
ponsabilidade civil. Rio de Janeiro: Forense, 2020. v.4. E-book
LAGO JÚNIOR, Antônio. Responsabilidade civil por atos
ilícitos na Internet. São Paulo: Ed. LTr, 2001.
DES, Gisela Sampaio da Cruz. Fundamentos do direito civil: res-
ponsabilidade civil. Rio de Janeiro: Forense, 2020. v.4. E-book
LAGO JÚNIOR, Antônio. Responsabilidade civil por atos
ilícitos na Internet. São Paulo: Ed. LTr, 2001.
192
A RELEVÂNCIA DOS SEGUROS CIBERNÉTICOS

NO CONTEXTO DA LGPD
Dionice de Almeida1
I. INTRODUÇÃO
Muito se fala em LGPD, a Lei Geral de Proteção de

Dados, e o quanto as empresas precisam estar adequadas. As
pessoas que navegam nos sites da internet já estão familiari-
zadas com os avisos de cookies e alguns até já entendem que
não se pode mais armazenar dados se eles não forem real-
mente necessários. Mas tudo isso ainda é a ponta do iceberg.
Existem diversas outras necessidades por trás da Lei, sendo
uma das principais, a mitigação de incidentes de vazamentos
de dados e transferência de risco para o seguro cibernético.
Tudo isso é parte do processo de segurança da informação.
O Brasil ainda não possui a cultura do seguro. Nem
dos seguros comuns, tampouco em um ramo tão específico e
com exigência de corretores especialistas. Segundo dados da
Federação Nacional de Previdência Privada e Vida (FenaPre-
1
Empresária, escritora e palestrante, é CEO da NV Seguros Digitais, espe-
cialista em gestão de riscos, seguros Liability e seguros cibernéticos. É DPO
Certificada EXIN, membro do comitê de Governança da ANPPD. Autora do
1º curso EAD de vendas de Seguros Cibernéticos do Brasil, possui autorias
relevantes como sua principal obra em coautoria, o livro “LGPD Sua Empre-
sa está Pronta? Legislação - Tecnologia - Mitigação de Riscos”, publicada em
2020 e já vendeu mais de 2000 cópias. Iniciou a carreira como Policial Civil,
empreende desde 1997 na área de seguros, acredita que o diferencial de um
bom profissional está atrelado ao nível de seu conhecimento.
193
vi) publicados por Anne Barbosa em reportagem do site CNN

Brasil2, apenas 15% da população brasileira possui seguro de
vida. Enquanto isso, 70% da população dos Estados Unidos e
90% da do Japão possuem esse tipo de seguro.
Porém, o aumento do número de ataques cibernéticos tem
mudado um pouco o comportamento do brasileiro. Inclusive, uma
pesquisa divulgada em maio de 2022 da Confederação Nacional
de Seguradoras (CNseg) e divulgada no site da Federação Nacio-
nal dos Corretores de Seguros (Fenacor)3, mostrou que a procura
por seguros cibernéticos cresceu 41,5% só nos primeiros meses
de 2022 se comparado ao mesmo período de 2021. Com esse au-
mento, houve um gasto de cerca de R$ 34,5 milhões em seguros.
Essa é uma boa notícia pois mostra que as empresas têm
valorizado o papel do seguro cibernético tanto nas questões de
adequação à LGPD quanto na proteção do seu próprio patrimônio.
Porém, a maioria das que têm procurado o seguro
cyber são empresas que estão fechando contratos internacio-
nais e possuem, por exigência, a contratação com outros se-
guros de responsabilidade, os chamados contratos Liability.
Grandes empresas internacionais acabam fazendo
essa exigência para as brasileiras e a dificuldade na aceitação
deste risco aumenta quando estas não procuram corretoras
especializadas para atender a modalidade de seguro. Este fato
pode gerar recusas de propostas pelo preenchimento errado
2
BARBOSA, Anne. Procura por seguro de vida cresce durante a pande-
mia de Covid-19 no Brasil. CNN Brasil, 2021. Disponível em: <https://
www.cnnbrasil.com.br/business/procura-por-seguro-de-vida-cresce-du-
rante-a-pandemia-de-covid-19-no-brasil/>. Acesso em: 24, junho, 2022.
3
PROCURA por seguros cibernéticos cresce mais de 40%. Fenacor,
2022. Disponível em <https://www.fenacor.org.br/noticias/procura-por-
-seguros-ciberneticos-cresce-mais>. Acesso em 24, junho, 2022.
194
dos questionários de riscos e isso se dá, justamente, pela falta

de maturidade do mercado de seguros em decorrência do des-
conhecimento das exigências técnicas necessárias.
Os profissionais de seguros precisam saber orientar
o cliente para conseguirem aceitação personalizada e, assim,
transferir o risco de vazamento de dados para uma seguradora
com as coberturas adequadas às necessidades de mitigação.
II. DESENVOLVIMENTO
II.I. O QUE É E COMO FUNCIONA O SEGURO

CIBERNÉTICO
Seguro Cyber, Seguro de Riscos Digitais, Riscos Ciber-

néticos, Seguro de Proteção Digital, são diversos os nomes co-
merciais para o seguro cibernético que tem, por sua apólice, uma
das melhores armas para combater as consequências de um ataque
cibernético. Ele oferece proteção para empresas que passem por
invasões de crackers “hacker não ético” e, portanto, o cyber crimi-
noso, que provoca as violações e vazamento de dados, mas tam-
bém cobre vazamentos não intencionais ocasionados por colabo-
radores. Sabemos que esse tipo de incidente pode causar inúmeros
danos às organizações, prejuízos financeiros, danos reputacionais
e até mesmo grandes ameaças à continuidade do negócio.
O seguro cibernético está diretamente ligado à adequa-
ção à LGPD pois exige que a empresa adote uma série de medi-
das em relação à coleta, armazenamento e tratamento de dados.
Além disso, ele requer implementação contínua de melhorias em
segurança da informação e segurança de rede na organização.
Ou seja, não basta querer contratar o seguro, é preciso
que haja processos de organização e governança para que a
empresa esteja apta a adquirir a apólice.
195
II.I.I. COBERTURAS DO SEGURO CIBERNÉTICO
Segundo a página 192 do Livro LGPD Sua empresa

está pronta4? Legislação, Tecnologia e Mitigação de Riscos,
são diversas as coberturas básicas e adicionais que podem ser
contratadas em uma apólice de seguro cibernético, sendo as
principais:
● Atendimento de gestão à crise, onde a empresa pode-
rá contar com especialistas dedicados para orientar o
segurado;
● Apoio jurídico, para orientação, despesas com advo-
gados, multas e sanções;
● A notificação e monitoramento dos dados vazados;
● A contratação de perícia especializada, como o perito
forense;
● Lucros cessantes, se a empresa tiver interrompimento
das atividades;
● Recuperação de ativos digitais;
● Recuperação da credibilidade da empresa em relação
à sua reputação;
● Responsabilidade Civil Cibernética, protegendo con-
tra danos a terceiros; dentre outras.
4
LIMA, Ana Paula Canto de; MAROSO, Eduardo Pereira; ALMEIDA,
Dionice de. LGPD Sua empresa está pronta? Legislação, Tecnologia
e Mitigação de Riscos. Literare Books International, 2020.
196
II.II. A RELAÇÃO DO DPO NA LGPD COM A

MITIGAÇÃO DE RISCOS
Uma das exigências da LGPD é a nomeação de um

DPO nas empresas. O DPO ou Data Protection Officer é o pro-
fissional encarregado pela proteção dos dados que as empresas
coletam, de acordo com as regras da Lei. A LGPD5 cita já no
inciso VIII do artigo 5º a necessidade da nomeação desse pro-
fissional, o qual poderá também ser um profissional contrata-
do e terceirizado. Além disso, ele precisa ser conhecido pela
ANPD e seu nome amplamente divulgado pelo controlador.
É o DPO o responsável por organizar a maneira como
é feita a coleta de dados, onde, como e por quanto tempo eles
devem ficar armazenados, quando e como e se serão excluí-
dos, quem tem acesso a esses dados e se eles são recebidos ou
enviados para outros países. Tudo isso precisa estar registrado
em um inventário o qual será usado como controle, tanto para
a empresa, quanto para o caso de uma fiscalização da ANPD.
Além disso, é o papel do DPO, segundo a LGPD, de
toda a comunicação com os titulares dos dados e precisa to-
mar as providências necessárias e possíveis dentro da legis-
lação. Ele deverá prestar contas a esses titulares e ao órgão
regulador sobre como os dados estão sendo usados e quais as
medidas de proteção a empresa utiliza.
É o DPO quem também se comunica com a ANPD e
adota as suas solicitações. Oficialmente, ele é a ponte entre a
empresa e a agência reguladora.
5
BRASIL, Lei nº 13.709, de 14 de agosto de 2019. Lei Geral de Pro-
teção de Dados (LGPD). Diário Oficial [da] República Federativa do
Brasil. Brasília, DF, p. 59, 15 ago., 2018. Seção 1.
197
O DPO também é o responsável pelo treinamento de

todas as pessoas que estão relacionadas aos dados, afinal é
fundamental que o máximo de pessoas na empresa estejam
envolvidas com a proteção dos dados pessoais.
Já no parágrafo 3º, a Lei define que nem todas as em-
presas precisam ter um DPO contratado como CLT, podendo
solicitar um DPO As a Service, ou seja, um profissional ter-
ceirizado que executa serviço para uma ou mais empresas.
Além disso, ela também deixa claro que outras normas so-
bre as obrigações do DPO podem surgir no futuro, afinal, a
LGPD é uma Lei que está em constante evolução.
II.II.I. QUEM PODE SER DPO?
A profissão de DPO já está devidamente registrada na

CBO - Classificação Brasileira de Ocupações do Ministério
do Trabalho através do código CBO1421-35.
Até julho de 2019, o parágrafo 4º do Artigo 41 da
LGPD dizia o seguinte:
4º Com relação ao encarregado, o qual deverá
ser detentor de conhecimento jurídico-regula-
tório e ser apto a prestar serviços especializa-
dos em proteção de dados, além do disposto
neste artigo, a autoridade regulamentará:
I - os casos em que o operador deverá indi-

car encarregado;
II - a indicação de um único encarregado, des-

de que facilitado o seu acesso, por empresas
ou entidades de um mesmo grupo econômico;
III - a garantia da autonomia técnica e pro-

fissional no exercício do cargo.”
198
No entanto, a Lei 13853, publicou o veto do Ministé-

rio da Economia e a Controladoria-Geral da União, alegando:
“A propositura legislativa, ao dispor que o encar-
regado seja detentor de conhecimento jurídico
regulatório, contraria o interesse público, na me-
dida em que se constitui em uma exigência com
rigor excessivo que se reflete na interferência
desnecessária por parte do Estado na discricio-
nariedade para a seleção dos quadros do setor
produtivo, bem como ofende direito fundamental,
previsto no art. 5º, XIII da Constituição da Repú-
blica, por restringir o livre exercício profissional
a ponto de atingir seu núcleo essencial.”
Como não existia na Lei uma especificação de quais

conhecimentos jurídicos regulatórios, não havia um direcio-
namento de qual deveria ser a formação do DPO.
Hoje a indicação da nomeação para o DPO acaba sen-
do ou uma pessoa do departamento de tecnologia pois está
mais familiarizado com os riscos cibernéticos, ou do setor
administrativo ou até mesmo do jurídico.
Afinal, o principal na atuação do DPO é ser um profis-
sional que respeita às normas, princípios morais, éticos e que
domina e respeita a legislação. Também precisa ser especiali-
zado e certificado para tal ofício.
II.III. A RESPONSABILIDADE DO DPO NA RES-

POSTA AO INCIDENTE
É responsabilidade do DPO ter agilidade ao demonstrar

as medidas de resposta ao incidente e, assim, reduzir o risco
aos titulares. Inclusive, se não houver uma boa resposta e
ações de mitigação, o DPO pode sofrer responsabilização.
199
Além disso, a comunicação para divulgação do va-

zamento de dados precisa ser feita de forma assertiva para
evitar danos reputacionais ou processos judiciais.
Jamais a empresa deve negociar com os cibercrimi-
nosos. Afinal, não se tem garantias de resolução do problema
após o pagamento da extorsão.
Portanto, recomenda-se que os DPOs sejam profissionais
preparados. Uma boa prática que poderá auxiliar este profissional
é os que adquirirem o seguro Cyber, terão o respaldo junto à Se-
guradora tanto para ajudar na resposta ao incidente quanto para se
protegerem, através de coberturas que indenizarão prejuízos de-
correntes da invasão cibernética ou vazamento de dados.
Conforme já mencionamos, o DPO deve ter feito um
inventário completo de todos os dados coletados, armazena-
dos e tratados dentro da empresa. Este deve conter quem co-
leta, onde se armazena, se os dados são enviados ou recebidos
por outras pessoas/empresas/países e as bases legais.
Organização e governança é a primeira etapa para
manter a empresa em dia com as resoluções da LGPD, estan-
do preparada para uma eventual fiscalização.
Inclusive, faz parte do escopo do DPO também aju-
dar na identificação da causa do incidente, as consequências
ocorridas e a quantificação dos prejuízos tanto para a empresa
quanto para terceiros.
II.III.I. UM PLANO DE AÇÃO DEVE SER REALI-

ZADO ANTES DO INCIDENTE
É necessário fazer um plano de ação, um relatório de

impacto de proteção de dados e um plano de retenção para
200
que a contenção do incidente seja feita de forma adequada.

Estar previamente preparado para ter maior agilidade nas
ações de mitigação é fundamental para que se contenha com
maior assertividade o incidente.
Independentemente de se ter contratado o seguro, me-
didas planejadas para que no momento que ocorrer a invasão,
são boas práticas até mesmo para a análise do risco pela Se-
guradora, colaborando com a aceitação do seguro.
II.III.II. INFORMAÇÃO PARA A ANPD
Outra questão importante é que o DPO precisa infor-

mar à ANPD, em até 48 horas sob pena de multa, no caso
de vazamentos que sejam de alto risco aos titulares ou que
tiverem larga escala.
Embora isto seja comentado desde 2018, quando san-
cionada a Lei, ainda existem empresas que sequer conhecem
as medidas a serem implementadas.
Por isso o DPO deve estar sempre a par de tudo o que
acontece, quais são as maneiras como a empresa trabalha e já
ter em mente o que pode fazer caso ocorra algum risco. Esta
é a única maneira para conseguir imediatamente mitigá-lo.
Se houver notificação pela ANPD após o incidente, é
preciso informar quais medidas estão sendo tomadas e o ta-
manho do vazamento. Um cronograma com todas as ações de
mitigação realizadas pode ser de grande valia para a ANPD.
Uma apólice de seguros personalizada poderá ajudar o
DPO nos registros de que a empresa, além de se preocupar com
a segurança dos dados, também contará com o apoio de pro-
fissionais como o perito forense, o qual se torna fundamental
para que a empresa consiga comprovar o que ocorreu de fato.
201
II.III.III. INFORMAÇÃO PARA OS TITULARES

DOS DADOS
Como mencionamos, esse tipo de trabalho só será realizado

pelo DPO caso o vazamento tenha sido muito alto e os titu-
lares possam estar correndo algum risco, como terem seus
dados bancários expostos, por exemplo.
Caso um titular fique sabendo sobre o vazamento e
entre em contato com o DPO, é necessário também que o
profissional saiba como realizar a gestão de crise em relação
aos dados dessa (s) pessoa (s).
Portanto, reforça-se a importância da apólice de segu-
ro em todos os passos do vazamento. Afinal, mesmo que este
possa ser um ato acidental, existirão medidas de mitigação.
Além disso, o DPO e a organização poderão ser respaldados
por especialistas preparados para reduzir os prejuízos através
das suas coberturas.
II.IV. COMO O DPO PODERÁ TRATAR A GESTÃO

DE CRISE EM CASO DE VAZAMENTO?
Não é só a empresa que precisa de uma gestão de cri-

se, o próprio DPO, seja ele contratado ou não da organização,
precisa de um suporte em uma invasão.
Para isso, ele poderá contar com uma corretora de se-
guros que possua profissionais especializados tecnicamente
com o foco de atendimento em invasões cibernéticas. Assim,
existe a certeza de que o profissional será respaldado, mesmo
quando o ataque tiver acontecido por uma falha na própria
adequação, por exemplo.
202
Esse tipo de gestão poderá ser feita pela transferência

de risco para a uma apólice de seguros de Responsabilidade
Civil Profissional para os chamados DPO As A Service. Já
o DPO nomeado pela empresa precisa da comprovação de
que seu contratante possui um seguro D&O que cubra riscos
cibernéticos e as responsabilidades do DPO, que indenizará
todos os prejuízos decorrentes de eventuais falhas, imperícias
ou imprudências do DPO nos atos de gestão.
Mas cabe um alerta de que serviços especializados
dependem da contratação de prestadores paralegais especia-
lizados. Ou seja, não basta efetivar um seguro cibernético
com qualquer corretora de seguros intermediando, pois este
serviço adicional é encontrado apenas com profissionais que
possuem um time dedicado para este tipo de regulação de si-
nistro especializada. Inclusive, atualmente existe uma grande
dificuldade no Brasil de encontrar profissionais neste nível
quando se pensa em corretagem de seguros.
II.V. O SEGURO CYBER PODE AJUDAR A ORGANI-

ZAÇÃO E O DPO NA RESPOSTA AO INCIDENTE?
O seguro cibernético traz todas as coberturas necessá-

rias, atendimento personalizado e orientação de especialistas
para as situações de crise. Os serviços de gerenciamento de crise
são acionados nas primeiras horas após a comunicação do inci-
dente e estão amparados na apólice. É necessário que a resposta
seja imediata e que a ação de mitigação seja muito rápida. Afi-
nal, essas primeiras horas do incidente são consideradas cruciais
para evitar ou mitigar os prejuízos causados pela invasão.
203
II.V.I. COMO FUNCIONA O ATENDIMENTO DO

SEGURO NA RESPOSTA AO INCIDENTE?
O gerenciamento inicial da crise normalmente dura em torno

de 48 horas, sendo:
II.V.I.I. NO MOMENTO DO INCIDENTE
Também chamado de canal de primeira resposta, o pri-

meiro atendimento do seguro acontece imediatamente após a
ocorrência do incidente. Ele pode ser acionado pelo telefone dire-
tamente oferecido pela Seguradora, sendo que o serviço funciona
24 horas por dia, 7 dias por semana em todos os dias do ano.
Esse primeiro atendimento é feito com uma pessoa
especialista dentro da Seguradora que fará a triagem do dano.
Porém, se a organização estiver alinhada com a corretora es-
pecialista, é importante que ela seja acionada em conjunto
para que possam administrar a regulação das indenizações
através do apoio de técnicos especializados. Estes poderão
ser contratados adicionalmente para que a regulação seja mais
ágil e o atendimento tenha o apoio personalizado ao DPO.
Após essa triagem, é definido como será feito o aten-
dimento para conter a invasão e validado o representante da
empresa, sendo preferencialmente o DPO ou alguém prepa-
rado da área de TI. Também é o momento de classificar o
incidente de forma a reduzir os impactos relacionados aos
principais tipos de ataques em até 8 horas.
A maioria das Seguradoras oferece um relatório do
atendimento contendo a descrição do ocorrido. Durante este
processo, elas informam como serão as ações de mitigação e/
ou correção e, por conta disso, geralmente é necessário o en-
volvimento de outras áreas de atuação como peritos e acon-
selhamento legal, por exemplo.
204
O atendimento do incidente é medido de horas em ho-

ras, pois as ações contínuas sugeridas pelos técnicos envolvi-
dos na mitigação podem variar, dependendo do incidente e da
necessidade do atendimento. O importante é entender que a
contratação de uma apólice em uma Seguradora sólida, junta-
mente com uma corretora especialista em Seguro Cibernético,
faz toda a diferença na resposta ao incidente. Afinal, será neces-
sário o acompanhamento, com revisão de tempos em tempos
para analisar como está o processo de mitigação e montar os
relatórios para comprovação dos fatos ocorridos no incidente.
II.V.I.II. 24 HORAS APÓS O INCIDENTE
Nesse prazo, a seguradora já possui os primeiros indí-

cios da investigação e dá continuidade ao trabalho de mitigação.
Grandes seguradoras possuem parceiros na gestão de
crise, possibilitando várias ações pelos prestadores, os quais
podem ser indicados pelos parceiros tanto da Seguradora
como do cliente através de sua corretora de seguros. Estes
podem ser os próprios profissionais de regulação do segura-
do, perito forense e outros profissionais paralegais.
Além disso, os acionistas das organizações devem es-
tar constantemente atualizados sobre tudo o que está aconte-
cendo, já que são diretamente interessados na continuidade
do negócio e é justamente o que se busca ao estancar o mais
rapidamente possível um ataque cibernético.
II.V.I.III. 48 HORAS APÓS O INCIDENTE:
Geralmente é o período em que se conclui a parte de

investigação inicial, sempre atualizando o segurado de todas
as informações sobre o trabalho.
205
Inclusive, tudo que foi feito durante essas horas será re-
gistrado em relatório como ações de mitigação. Este material tem
grande valia para que a empresa possa utilizar, se necessário, em
caso de notificação da ANPD, informando sobre as medidas reali-
zadas para contenção dos danos envolvendo dados pessoais.
II.V.I.IV.. ATENDIMENTO DE ALTA COMPLEXIDADE
Se após todas as etapas de implementação de medidas

de contenção dos danos, ainda assim o incidente não for re-
solvido, parte-se para um atendimento mais robusto onde será
montado um time de trabalho em conjunto com o segurado.
Incidentes de alta complexidade, os quais são difíceis
de serem conduzidos ou com danos que possam comprometer
a continuidade do negócio, como a paralisação da empresa,
havendo exposição midiática e danos à privacidade de tercei-
ros, precisam ser encaminhados para um atendimento com
algumas ações adicionais e que podem aumentar o impacto e
consequente diminuição do dano.
Nessa etapa é formado um comitê de crise com a se-
guradora, o corretor e outros prestadores de serviços para
agilizar a tomada de decisão. Afinal, podem existir casos em
que não se consegue recuperar o sistema de uma empresa e
portanto será necessário refletir sobre ações que visem a con-
tinuidade do negócio e redução do impacto para que ela possa
se recuperar ao final de toda a invasão.
Lembrando que existem situações em que o dano
reputacional pode ser o maior prejuízo que uma organização
pode sofrer. As multas e sanções da LGPD costumam ser os
menores problemas de uma empresa quando esta sofre uma
invasão cyber criminosa. No entanto, a grande maioria dos
gestores só se preocupa com elas.
206
III. CONCLUSÃO
Por que muitas empresas só adquirem o seguro

cibernético se constar em cláusula de contrato?
Como mencionamos no início, o brasileiro realmente
ainda não tem a cultura do seguro. Por conta disso, muitas
empresas não contratam apólices de seguro de responsabili-
dade cibernética. Ou, como também já falamos, acabam con-
tratando apenas quando existe uma obrigatoriedade por parte
de um parceiro, normalmente empresas de fora do país.
As empresas brasileiras precisam mudar o pensamento
e entender que a contratação do seguro não pode ser vista ape-
nas como uma obrigação, mas sim, o elemento fundamental
quando se trata da proteção e da própria sobrevida da empresa.
Quando se trata de proteção de dados, não são
apenas informações sobre clientes que vazam, mas sim,
toda a confiança que estes tinham na empresa, na certeza
de que suas informações estarão muito bem guardadas.
Essa quebra de confiança muitas vezes não tem volta e,
dependendo do tamanho do vazamento ou do que foi fei-
to com os dados violados, a reputação da empresa talvez
nunca mais será a mesma.
Acredita-se que a imagem das empresas é um pa-
trimônio fundamental em tempos de globalização. Já se
sabe que as organizações estão cada vez mais presentes
na internet, principalmente nas redes sociais. Assim, as
informações correm rapidamente entre as pessoas e um
incidente pode facilmente virar uma bola de neve e pre-
judicar a imagem da empresa em poucos minutos.
Outra questão muito importante e que muitas empresas
não levam em consideração, pois acham que “não vai aconte-
207
cer com elas” é o caso de uma perda financeira se houver um

ataque cibernético. Muitas organizações não têm nem ideia do
prejuízo astronômico que pode gerar um ataque de um cracker,
um sequestro de dados ou, como mencionado, um prejuízo da
própria reputação e imagem da organização. Dificilmente uma
pequena ou média empresa possui os recursos necessários para
cobrir uma despesa dessa magnitude.
O website dedicado à segurança cibernética CISO Ad-

visor divulgou em sua newsletter de 17 de maio de 2022, o
6
relatório anual de prontidão cibernética à partir de uma en-

trevista feita com mais de 5 mil nos Estados Unidos e Europa
pela seguradora Hiscox, que concluiu que cerca de 20% das
empresas americanas e europeias admitiram que um ataque ci-
bernético quase fez com que elas quebrassem.
No mesmo relatório mostra que 48% dos executivos entre-

vistados disseram que sofreram um ataque cibernético no último ano.
Já a 1ª Pesquisa Nacional BugHunt de Segurança da

Informação com 58 empresas brasileiras com mais de 10 anos
de existência, da plataforma BugHunt, especialista em falhas
de segurança, divulgada pelo site Canaltech7 em 2 de fevereiro
de 2022, 26% das empresas brasileiras sofreram ataques de
phishing, vírus, ransomware e vishing. Muitos desses proble-
mas foram causados pela adoção do home office, principal-
6
CERCA de 20% das empresas dizem que ciberataque quase as quebrou.
CISO Advisor, 2022. Disponível em: <https://www.cisoadvisor.com.
br/cerca-de-20-das-empresas-admitem-que-ciberataque-quase-as-que-
brou/>. Acesso em: 24, junho, 2022.
7
ANDRION, Roseli. 1 em cada 4 empresas brasileiras sofreram ataques
cibernéticos em 12 meses. Canaltech, 2022. Disponível em <https://ca-
naltech.com.br/seguranca/1-em-cada-4-empresas-brasileiras-sofreram-a-
taques-ciberneticos-em-12-meses-208241/>. Acesso em: 24, junho, 2022
208
mente pelo fato de que 36% das empresas entrevistadas afir-

maram que não estavam preparadas para o trabalho remoto.
Por conta disso, torna-se cada vez mais necessária a dedica-

ção de tempo e recursos das empresas para protegerem seu
patrimônio. É preciso construir um plano de ação que defina
os investimentos adequados para a proteção de dados, sendo o
seguro cibernético a melhor opção para tal.
A visão dos empresários quanto ao investimento em

seguro cyber precisa ser incorporada a cultura da empresa,
juntamente com a capacitação dos colaboradores sobre a im-
portância dos controles internos. O uso de senhas fortes e o
cumprimento das políticas de segurança da informação são
premissas para que a empresa continue operando e crescendo.
Todos querem manter seus empregos, aumentar seus salá-

rios e, para que isso possa continuar acontecendo, as organizações
devem estar preparadas para o momento em que forem invadidas.
Para isso, uma apólice de seguros adequada o suficiente para conter
o incidente rapidamente certamente fará com que a empresa siga em
frente, mesmo com as adversidades causadas por uma cyber invasão.
A LGPD acelerou as organizações para que, respeitan-

do os dados dos titulares, aumentem sua segurança da infor-
mação e também a conscientização sobre a relevância da mi-
tigação de riscos. Agora o empreendedor precisa aculturar-se
sobre a importância de uma apólice de seguros, através de uma
corretora especialista e uma seguradora renomada, para que
ele possa gerir o seu negócio com gestão de riscos e assim,
crescer e gerar ainda mais empregos, através de boa prestação
de serviço, entrega de bons produtos, sempre com credibilida-
de e reconhecimento de mercado.
209
PROTEÇÃO DE DADOS: BOAS PRÁTICAS

NO SETOR EDUCACIONAL
Edmée Maria Capovilla Leite Froz1
A Lei Geral de Proteção de Dados Pessoais, Lei n.º

13.709/18 (LGPD) entrou em vigor no dia 28 de dezembro
de 2018, na parte que trata da Autoridade Nacional de Prote-
ção de Dados (ANPD) e do Conselho Nacional de Proteção
de Dados Pessoais e da Privacidade, e no dia 18 de setembro
de 2020, exceto os artigos 52 a 54 que entraram em vigor no
dia 1º de agosto de 2021, referente às sanções administrativas
impostas pela legislação.
Com o objetivo de proteger os direitos fundamen-
tais de liberdade e de privacidade e o livre desenvolvimen-
to da personalidade da pessoa natural, a LGPD tem a sua
aplicação para toda a pessoa física ou jurídica que trate
dados pessoais, ou seja, as suas atividades empresariais/
comerciais que necessite de um banco de dados, indepen-
dente do volume e da natureza dos dados pessoais, devem
obedecer aos princípios instituídos pela legislação de pro-
teção de dados.
Assim, essa lei impôs novas obrigações, responsabilida-
des, atribuições e às entidades públicas e privadas, que no âmbito
das suas atividades tratem dados pessoais, desde que fundamen-
tadas nas hipóteses permissivas dos artigos 7º e 11º da LGPD.
1
Advogada, professora e consultora em privacidade e proteção de dados
210
Nesse artigo faremos um recorte para tratar sobre as boas

práticas da proteção de dados no setor educacional pelo volume
de dados e da criticidade dos dados pessoais tratados nas insti-
tuições e no desafio imposto aos empresários, diretores, mante-
nedores e afins em cumprirem uma legislação onde apenas um
artigo específico faz referência ao setor educacional, pelo com-
partilhamento de dados entre a esfera pública e a privada.
O artigo 62 da LGPD determina que “a autoridade nacio-
nal e o Instituto Nacional de Estudos e Pesquisas Educacionais
Anísio Teixeira (Inep), no âmbito de suas competências, edita-
rão regulamentos específicos para o acesso a dados tratados pela
União para o cumprimento do disposto no § 2º do art. 9º da Lei
nº 9.394, de 20 de dezembro de 1996 (Lei de Diretrizes e Bases
da Educação Nacional) , e aos referentes ao Sistema Nacional de
Avaliação da Educação Superior (Sinaes), de que trata a Lei nº
10.861, de 14 de abril de 2004 .” (sem grifos no original).
Partindo da premissa que as instituições devem cum-
prir a legislação a partir de agosto de 2020, data em que a
LGPD entrou em vigor, e que o artigo 62 fez expressa re-
ferência a regulamentos que seriam editados pela ANPD e
pelo INEP para regulamentar o tratamento de dados pessoais
da LDB e dos Sinaes, foi dado o alerta de que o tratamento
de dados pessoais, até então realizado pelas instituições, sem
orientação prévia poderia, futuramente, ser considerado irre-
gular com a edição de tais regulamentos, dando azo a ações
cíveis e administrativas.
Instituições de ensino estão sob a fiscalização do Mi-
nistério da Educação, periodicamente, que utiliza de metodo-
logias e resoluções para nortear a administração das institui-
ções e auditar os números de alunos e funcionários, por isso,
211
inserir novas práticas de proteção de dados e privacidade nas

escolas, universidades, cursinhos e similares é urgente e de-
manda uma equipe especializada, tanto para quem vai fiscali-
zar, quanto quem executará o plano de ação.
É necessário dizer que o INEP é uma autarquia federal
que trata de avaliações e exames educacionais, pesquisa es-
tatística, indicadores educacionais e gestão de conhecimento,
com o objetivo de implementar políticas públicas.
Depreende-se que esse objetivo é extremamente
abrangente e pode necessitar de não uma, mas duas (quem
sabe três) bases legais para justificar o tratamento de dados,
como veremos adiante.
A LGPD faz menção à Lei nº 9.394/96, que estabelece
as diretrizes e bases da educação nacional, que em seu art. 9º
determina que, a União incumbir-se-á de:
V - coletar, analisar e disseminar informa-

ções sobre a educação;
VI - assegurar processo nacional de avalia-

ção do rendimento escolar no ensino funda-
mental, médio e superior, em colaboração
com os sistemas de ensino, objetivando a
definição de prioridades e a melhoria da qua-
lidade do ensino;
VII - baixar normas gerais sobre cursos de

graduação e pós-graduação;
VIII - assegurar processo nacional de ava-

liação das instituições de educação superior,
com a cooperação dos sistemas que tiverem
responsabilidade sobre este nível de ensino;
212
IX - autorizar, reconhecer, credenciar, super-

visionar e avaliar, respectivamente, os cursos
das instituições de educação superior e os
estabelecimentos do seu sistema de ensino.
E para tal mister, a União terá acesso a todos os da-

dos e informações necessários de todos os estabelecimentos
e órgãos educacionais (art. 9º, § 2º) (sem grifos no original).
Já o Sistema Nacional de Avaliação da Educação Su-

perior - SINAES, tem o objetivo de assegurar processo na-
cional de avaliação das instituições de educação superior, dos
cursos de graduação e do desempenho acadêmico de seus es-
tudantes e, através dos resultados, permitir o credenciamento
e a renovação de credenciamento de instituições de educação
superior, a autorização, o reconhecimento e a renovação de
reconhecimento de cursos de graduação (Lei n.º 10.861/04).
Assim, infere-se da determinação legislativa que institui-

ções educacionais públicas e privadas para atender a finalidade
de execução de política pública ou ainda para cumprir legislação
anterior à LGPD, compartilharão dados pessoais com a União.
Além disso, o Decreto nº 6.425/2008, determina

que o INEP realizará, anualmente, o censo escolar da edu-
cação básica e o censo da educação superior, a teor do art.
1º. O censo é realizado em regime de colaboração entre a
União, os Estados, o Distrito Federal e os Municípios, em
caráter declaratório e mediante coleta de dados descentra-
lizada, englobando todos os estabelecimentos públicos e
privados de educação básica e adotando alunos, turmas,
escolas e profissionais da educação como unidades de in-
formação, conforme o art. 2º.
213
O art. 5º do referido decreto, por sua vez, impõe a

obrigatoriedade a toda instituição de educação, de direito pú-
blico ou privado, com ou sem fins lucrativos, de prestar as
informações solicitadas pelo INEP por ocasião da realização
do censo da educação ou para fins de elaboração de indica-
dores educacionais. Já o art. 6º da norma assegura o sigilo e
a proteção de dados pessoais no censo da educação, vedando
a utilização dos dados para fins estranhos aos previstos na
legislação educacional aplicável.2
Com o intuito de evitar futuras notificações tanto do
MEC, quanto de outros órgãos fiscalizatórios, foi necessário
estabelecer etapas para implementação da proteção de dados
e privacidade, no setor educacional, diante dos diversos ato-
res que atuam neste segmento.
Como exemplo, podemos citar em um centro educa-
cional que abrange ensino superior e ensino médio, contem-
pla diversas atividades de tratamento de dados pessoais, des-
de a coleta de dados de alunos quando da matrícula, quanto
de prospects através do marketing digital, como dos alunos
que aplicam seus dados pessoais para as mais diversas formas
de ingresso no ensino superior e quando já alunos da institui-
ção, o tratamento de dados deve se submeter às resoluções e
normas dos conselhos federais de cada profissão, por exem-
plo, enfermagem, nutrição, psicologia, medicina, odontolo-
gia, direito, dentre outros com as suas clínicas para a prática
que atende a população carente.
Já do maternal ao ensino médio, podemos observar
instituições que contemplam atividades extracurriculares e
2
Nota Técnica 46 (3319546) SEI 00261.000730/2022-53 / pg. 4, disponí-
vel em https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/sei_
00261-000730_2022_53-nt-46.pdf
214
estabelecem como parceiros de negócio como franquias de

línguas estrangeiras, escolas terceirizadas para a prática de
esporte, teatro música, dança e assim por diante.
Depreende-se desse leque de compartilhamento de da-
dos, que adequar uma instituição exige um levantamento de in-
formações na fase inicial, para traçar um plano de ação com am-
paro no organograma e nos parceiros de negócio da instituição.
A atividade educacional contempla macro e micro
processos o que reflete na execução da proteção de dados e
da segurança da informação de acordo com as melhores prá-
ticas, com lastro nas normas internacionais.
No início de 2020, com o Decreto Legislativo n.º 6,
reconhecendo o estado de calamidade, pela pandemia do co-
ronavírus e, posteriormente, a imposição do isolamento so-
cial obrigatório, diversas empresas tiveram que virtualizar a
suas operações, especialmente o setor educacional, que so-
freu severos impactos.
Perda de receita, investimento em equipamentos,
treinamento de professores, pais e alunos, transformando o
ensino em EaD (Ensino a distância), com todos os riscos ad-
vindos de tal situação, a proteção de dados que não era uma
prioridade, tornou-se urgente.
Vimos diversos incidentes envolvendo a sala de aula
no ambiente virtual e outras situações que foram reveladas,
pelo investimento em segurança da informação.
O último incidente com exposição de dados pessoais
partiu de uma falha nos sistemas do INEP, onde mais de 5
milhões de estudantes brasileiros tiveram dados expostos na
internet. A vulnerabilidade foi divulgada pela revista digital
“The Hack”, que testou o acesso aos dados e descobriu que
215
era possível saber informações como nomes dos candidatos,

e-mail, senhas, gênero e nome da mãe, como boletins de de-
sempenho, local de prova e até laudos médicos e opção de
tratamento social.3
Mas a exposição de dados pessoais de alunos não é
privilégio apenas do Brasil, em 2019, a Autoridade Norue-
guesa de proteção de dados informou que foram expostos
35.000 dados pessoais de alunos e funcionários da escola mu-
nicipal, neste procedimento administrativo, concluiu-se que
não havia medidas próprias de segurança para resguardar os
dados pessoais, violando o Regulamento Geral de Proteção
de Dados (RGPD)4.
Um outro exemplo de incidente de segurança é a
cópia, em um pendrive, realizada por um ex-funcionário da
instituição, que ao ser demitido compartilhou informações e
dados pessoais com a outra empresa.
Diante dessas situações, como instituições devem
iniciar o planejamento e incorporar a proteção de dados e a
privacidade nas suas operações e evitar que pessoas sejam
expostas, que informações sejam divulgadas e especialmente
que funcionários e/ou terceirizados tenham a proteção de da-
dos como premissa de suas atividades?
Enquanto não há um regulamento específico de como
tratar dados pessoais nas instituições, com o objetivo de se
adequar aos dispositivos da LGPD, o Ministério da Educação
tem realizado um conjunto de ações, quais sejam5:
3
https://www.uol.com.br/tilt/noticias/redacao/2021/09/10/falha-no-sistema-
-do-inep-vaza-dados-de-5-milhoes-de-estudantes.htm?cmpid=copiaecola
4
Disponível em: https://iapp.org/news/a/norwegian-supervisory-authori-
ty-fines-municipality-170k-euros-for-gdpr-violations/
5
https://www.gov.br/mec/pt-br/acesso-a-informacao/lgpd
216
• Desenvolvimento do Programa Institucional

de Proteção de Dados Pessoais e Privacidade;
• Institucionalização do Subcomitê de Seguran-
ça da Informação e Proteção de Dados Pes-
soais (SSIPDP/MEC) – em fase de publicação;
• Institucionalização do Núcleo de Estudos
para Implantação da Lei Geral de Prote-
ção de Dados Pessoais (NEILGPD/MEC);
• Realização do levantamento das atividades de
tratamento de dados pessoais existentes no âm-
bito do Ministério – em fase de consolidação; e
• Nomeação do Encarregado pelo Tratamento dos
Dados Pessoais do Ministério.
O plano de ação iniciado pelo MEC indica que as ati-
vidades podem ser executadas nas instituições de ensino, pois
revelam um encadeamento de ações da fase inicial de implan-
tação da LGPD para empresas de outros setores, além do que
agregará valor à instituição.
A primeira reunião com a alta direção, sócios ou direto-
res é muito importante para dar conhecimento de forma assertiva
sobre o tema, abrangendo não apenas a parte jurídica como prin-
cípios, obrigações, responsabilidades, sobretudo a parte técnica
e situações cotidianas inseridas na realidade da instituição.
Explicar a metodologia, o tempo e a equipe necessá-
ria, bem como as etapas que serão percorridas trarão clareza
para o projeto de adequação, demonstrarão segurança e com-
prometimento da equipe que estará engajada nessa tarefa.
Geralmente nessa reunião é possível alinhar a criação
do comitê de privacidade e nomear o Encarregado.
As instituições geralmente apresentam organização e
mapeamento dos processos, pois necessitam estar em confor-
217
midade com diversas legislações, especialmente, as resolu-

ções do MEC, portanto faz parte da rotina terem comissões
ou grupos destacados para determinado projeto.
Assim, diante das obrigações e atribuições de um
grupo que vai ajudar no projeto de implantação se faz ne-
cessário a instituição de forma regulamentada do Comitê de
Privacidade, que pode ser designado através de portaria com
a nomeação de funções, diretorias ou áreas de negócios que
tratam dados e de pessoas comprometidas com o projeto.
Na prática, diante de tantas atividades que uma ins-
tituição desenvolve, percebeu-se a necessidade de nomear
também suplentes e de inserir reuniões periódicas do Comitê,
pelo menos, a cada 2 meses, com o objetivo de atualizar sobre
a implementação da LGPD, bem como permitir que o Comitê
exerça uma de suas atribuições, que é decidir sobre situações
que possam apresentar um risco ao tratamento de dados pes-
soais seja de funcionários ou de alunos e seus responsáveis.
O tema da proteção de dados é vasto e deve ser difundi-
do por toda a instituição, não apenas para a direção, mas para os
funcionários, professores e terceirizados, tornando as reuniões
preparatórias um excelente momento de disseminação de infor-
mação e conscientização sobre as ações desenvolvidas em cada
setor da instituição, para dar possibilidade de as perguntas serem
respondidas e maior proximidade entre os colaboradores.
É recomendado que seja feita uma lista de presença e
emissão de certificados, para posterior comprovação de cons-
cientização e treinamentos das equipes.
A necessidade de comprovar treinamento e conscienti-
zação da equipe sobre proteção de dados, já foi objeto de um
processo trabalhista em que restou comprovado a conduta grave
218
cometida pelo trabalhador, que justificou a justa causa, ao violar

as regras sobre proteção de dados instituídas pela empresa6.
A Avaliação Inicial de Privacidade compreende uma
boa prática para o setor educacional, sendo possível elabo-
rar um relatório identificando as medidas já implementadas
pela instituição, mapeando os macrofluxos de tratamento de
dados, as legislações específicas para cada setor e a parte téc-
nica da segurança da informação, bem como as medidas que
foram tomadas para mitigar riscos e as que serão necessárias
para elaborar o projeto de adequação.
I. A GESTÃO DE RISCOS
Sempre que se inicia um novo projeto, os riscos de-

vem ser avaliados, pelo Gestor de Crise ou por outro profis-
sional que tenha capacidade técnica para avaliar o cenário.
Tomando como base a Resolução Administrativa nº
60/2014, da Agência Nacional de Saúde (ANS), o art. 8º de-
termina que “o gerenciamento de riscos deve ser feito em ci-
clos não superior a dois anos, abrangendo os processos de
trabalho, sistemas informatizados, gestão orçamentária, ges-
tão de pessoas e legislação, com vistas reduzir os eventos de
riscos negativos, assim como, quando for o caso, potenciali-
zar os eventos de riscos positivos (oportunidades)7.
Nessa etapa é importante descrever como o trabalho é
6
TRT 2ª Região Recurso Ordinário Trabalhista 1000612-
09.2020.5.02.0043, disponível em https://www.conjur.com.br/
dl/1000612-0920205020043.pdf
7
Disponível em https://www.gov.br/ans/pt-br/arquivos/acesso-a-informacao/
transparencia-institucional/gestao-de-riscos/politica-gestao-de-riscos-ans.pdf
219
realizado conhecendo os seus objetivos e as fontes de riscos

presentes em suas atividades.
“É importante frisar o detalhamento da descrição do pro-
cesso de trabalho: objetivos, etapas, procedimentos, atividades,
recursos humanos (peopleware), equipamentos (hardware), sis-
temas de informação requeridos (software) e materiais, além de
outras fontes de riscos que sejam parte integrante desse fluxo
de informações e tomadas de decisão. Quanto mais detalhada a
descrição do processo de trabalho, mais fácil será a visualização
dos eventos que podem ocorrer e afetar os objetivos”8
Toda organização – assim como todo sistema – relacio-
na-se com o ambiente externo. Esse relacionamento é estabe-
lecido por meio de uma interface com clientes, fornecedores,
governo etc. São exemplos de interfaces de uma organização
com o meio externo as áreas de recepção, call center, os ven-
dedores, os compradores, os atendentes e demais agentes que
interagem com clientes, fornecedores, governo e cidadão9.
A gestão de risco é baseada na norma ABNT NBR
ISO/IEC 27005:2008 (ABNT, 2008).
II. O RELATÓRIO DE IMPACTO À PROTEÇÃO DE

DADOS (RIPD).
O Relatório é uma documentação do controlador que

contém a descrição dos processos de tratamento de dados pes-
soais que podem gerar riscos às liberdades civis e aos direitos
8
Manual de Gestão de Riscos da Agência Nacional de Saúde Suplemen-
tar – ANS, disponível em www.ans.gov.br
9
FERNANDES, Jorge Henrique Cabral. Introdução à Gestão de Riscos
de Segurança da Informação. GSIC302. Versão 1.2. 2009-2011.
220
fundamentais, bem como medidas, salvaguardas e mecanismos

de mitigação de risco, conforme art. 5º, XVII da LGPD.
A Autoridade Nacional de Proteção de Dados (ANPD)
poderá determinar ao controlador que elabore relatório de im-
pacto à proteção de dados pessoais, inclusive de dados sensí-
veis, referente a suas operações de tratamento de dados, nos
termos de regulamento, observados os segredos comercial e
industrial (art. 38 da LGPD).
As instituições de ensino coletam dados pessoais sensí-
veis de alunos, que se referem à saúde, como por exemplo se são
portadores de doença, se tem alergia, qual o tipo sanguíneo (para
emergências); dados biométricos como as impressões digitais e
reconhecimento facial para acesso à escola/universidade; exa-
mes admissionais e demissionais dos funcionários.
Daí a necessidade de elaborar um RIPD, demonstran-
do quais as medidas que foram adotadas pela instituição para
resguardar a criticidade desses dados de um incidente com
violação de dados que possa ocasionar danos aos titulares.
III. ADEQUAÇÃO DO SITE INSTITUCIONAL E

APLICATIVO
Os dispositivos como captadores de informações e dados

pessoais, através de cookies devem cumprir a determinação do
Marco Civil da Internet, da LGPD e da ISO 29184 Avisos de pri-
vacidade on-line e consentimento, essa norma tem como obje-
tivo providenciar avisos onde for necessário, em uma linguagem
apropriada para os titulares de dados pessoais, em um momento
que permita que os titulares exerçam de forma consciente o con-
sentimento, em locais onde sejam facilmente reconhecidos pelos
221
titulares, e com referências que forneçam acesso a material suple-

mentar, incluindo avisos prévios e suas respostas de privacidade,
A adoção de boas práticas ao utilizar os dispositivos
dos funcionários para desempenho das funções em home of-
fice, denominado pela sigla BYOD (Bring Your Own Device
– traga seu dispositivo próprio).
O aplicativo WhatsApp é o muito popular e seu uso é
quase unânime nas instituições públicas e privadas para co-
municação entre equipes.
Entretanto, ao tratar informações de terceiros em celu-
lares de propriedade dos funcionários representa um risco, pois
o dispositivo pode ser perdido, quebrado, furtado, assim como
o app pode ser invadido, bloqueado e assim dados pessoais de
titulares da instituição tornam-se vulneráveis, atraindo a res-
ponsabilidade pela reparação por dano material ou moral.
Como recomendação, deve-se elaborar um Manual para
uso de celulares e notebooks, contemplando o uso, compartilha-
mento de informações, backup, antivírus, e determinações do que
fazer em caso de perda, extravio, roubo, dentre outras situações.
Se a instituição permite que o funcionário utili-
ze o seu próprio dispositivo, deve-se arcar com os cus-
tos como contratação de antivírus, dentre outras me-
didas e definir se e quando poderá auditar o mesmo,
prevendo em contrato de trabalho em cláusula em destaque.
IV. O PLANO DE RESPOSTA A INCIDENTES
Incidente é o acontecimento que compromete a segu-

rança dos dados pessoais, expondo-os a acessos não autori-
222
zados, a situações acidentais ou ilícitas de destruição, perda,

alteração, comunicação ou qualquer forma de tratamento ina-
dequado ou ilícito que resulte na destruição, perda, alteração,
vazamento ou ainda, qualquer forma de tratamento de dados
inadequada ou ilícita, os quais possam ocasionar risco para os
direitos e liberdades do titular dos dados pessoais10.
De acordo com o art. 48 da LGPD, a Instituição deverá co-
municar à autoridade nacional e ao titular a ocorrência de incidente
de segurança que possa acarretar risco ou dano relevante aos titulares.
Após a confirmação de risco e danos relevantes aos ti-
tulares, a organização (Controlador) deverá comunicar à Au-
toridade Nacional de Proteção de Dados (ANPD) e ao titular
de dado, no prazo de até 2 dias.
“Enquanto pendente a regulamentação, recomenda-se
que após a ciência do evento adverso e havendo risco relevan-
te, a ANPD seja comunicada com a maior brevidade possível,
sendo tal considerado a título indicativo o prazo de 2 dias
úteis, contados da data do conhecimento do incidente.
Tal interregno foi estabelecido com parâmetro
na definição de comunicação já existente no Decreto nº
9936/2019 e em virtude da necessidade de gerenciamento
dos incidentes de segurança com dados pessoais por parte da
ANPD e das consequências danosas que podem ocorrer em
razão do atraso nas ações de contenção ou mitigação.”11
Portanto, em até 48 horas, deve-se comunicar à ANPD
sobre o incidente que seja relevante e possa causar danos aos
10
De acordo com o conceito estabelecido pela Autoridade Nacional de
Proteção de Dados (ANPD), disponível em https://www.gov.br/anpd/pt-
-br/assuntos/incidente-de-seguranca
11
https://www.gov.br/anpd/pt-br/assuntos/incidente-de-seguranca
223
titulares. Assim, o plano de resposta a incidente deve ser um

guia prático de como proceder em outras situações, além da
exposição de dados pessoais, devendo considerar:
a) o incidente pode acarretar risco, tomando como
base a proporção entre a probabilidade de o evento acontecer
e a gravidade das consequências previsíveis, como a ocor-
rência de incidente com dados sensíveis, dados de crianças e
adolescentes.
b) dano relevante, a partir da ocorrência do prejuízo,
da perda, que pode ser material ou moral, com violação ao
direito de imagem e a honra.
É necessário considerar o quantitativo (o volume) dos
dados pessoais afetados.
O incidente deve ser registrado internamente, com a
análise e a avaliação dos riscos e consequências, atendendo
ao princípio da responsabilidade e prestação de contas dis-
posto na Lei Geral de Proteção de Dados Pessoais.
Determinar quem será avisado interna e externamente
compreende o plano de ação, bem como não restam dúvidas de
que o Controlador (a instituição) comunica a ocorrência à ANPD.
O comunicado deve ser feito pelo Encarregado, que de-
verá preencher o cadastro de usuário externo no Sistema Ele-
trônico de Informações (SEI), da Presidência da República12.
Disponível em: https://sei-pr.presidencia.gov.br/sei/controlador_exter-

12
no.php?acao=usuario_externo_logar&acao_origem=usuario_externo_
gerar_senha&id_orgao_acesso_externo=0
224
V. GESTÃO DOS CONTRATOS

Em atendimento ao princípio da boa-fé, transparên-
cia, responsabilização e prestação de contas os contratos de-
verão ser capazes de informar às partes sobre o tratamento
de dados realizado pela Instituição, se há compartilhamento,
quais são os dados coletados, a finalidade, por quanto tempo
serão armazenados, os direitos dos titulares e as formas de
exercê-los, as responsabilidades, sanções impostas pelo des-
cumprimento contratual, informações sobre o encarregado.
Diante do posicionamento das instituições nas redes
sociais, é necessário prever, em cláusula específica, o uso da
imagem e voz de alunos, pais, responsáveis e funcionários,
dando oportunidade de as partes consentirem ou não com tal
exposição nas mídias digitais.
Para os contratos celebrados sem a previsão da pro-
teção de dados, uma boa prática é realizar o aditamento
contratual que tem objetivo modificar, atualizar e ratificar
determinadas cláusulas, atendendo de forma eficaz o cum-
primento da lei, fornecendo informações que proporcionem
clareza e segurança para as partes, afastando dúvidas e pos-
síveis reclamações sobre o tratamento dos dados pessoais.
Os contratos dos parceiros de negócios e contra-
tados das instituições devem ser aditados de acordo com
o objeto contratual, evitando cláusulas genéricas de cum-
primento da legislação, pois a definição das responsabili-
dades e obrigações, bem como as formas de tratamento e
dados que são coletados são específicos para cada negócio
realizado pela instituição.
Tomando-se como exemplo, um contrato de marke-
ting pode não coletar os mesmos dados pessoais que um con-
225
trato de contratação de professor substituto ou ainda, de um

aplicativo de venda de lanches.
Somente após o mapeamento de dados e de uma
análise aprofundada poderá se determinar quais são as res-
ponsabilidades e impor sanção às partes, por descumpri-
mento contratual.
VI. OS DIREITOS DOS TITULARES
Conforme o art. 18 da LGPD, os titulares de dados

pessoais tem direito ao acesso facilitado às informações sobre
o tratamento dos seus dados, à qualquer momento, de forma
clara, adequada e ostensiva, por meio de um e-mail ou outra
forma que a instituição implementar, como por exemplo, di-
retamente no site institucional.
VII. OS DIREITOS DOS TITULARES SÃO13:
1) Confirmar a existência do tratamento;

2) Ter acesso aos seus dados pessoais, de forma simples
ou uma declaração completa;
3) Corrigir os dados que estejam incompletos, inexatos
ou desatualizados;
4) Solicitar a anonimização, bloqueio ou eliminação de da-
dos desnecessários, excessivos ou tratados em desconfor-
midade com a Lei Geral de Proteção de Dados Pessoais.
5) Solicitar a portabilidade dos dados a outro fornecedor
de serviço ou produto, mediante requisição expressa,
de acordo com a regulamentação da autoridade na-
cional, observados os segredos comercial e industrial;
13
Lei Geral de Proteção de Dados Pessoais, Lei n.º 13709/18.
226
6) Solicitar a eliminação dos dados pessoais tratados

com o consentimento do titular, exceto nas hipóteses
em que é autorizado por lei a conservação dos dados;
7) Ser informado(a) sobre as entidades públicas e privadas com
as quais a Instituição realizou uso compartilhado de dados;
8) Ser informado(a) sobre a possibilidade de não fornecer
consentimento e sobre as consequências da negativa;
9) Solicitar a revogação do consentimento, a qualquer
momento, mediante manifestação expressa, de forma
gratuita e facilitada
10) Solicitar a revisão de decisões tomadas unicamente com
base em tratamento automatizado de dados pessoais que
afetem seus interesses, incluídas as decisões destinadas
a definir o seu perfil pessoal, profissional, de consumo e
de crédito ou os aspectos de sua personalidade.
Para executar os direitos dos titulares, já existe

software para acompanhar as solicitações, responder e conso-
lidar os resultados, contudo caso o controlador (a Instituição)
não tenha adotado a forma automática de respostas, deverá
indicar um funcionário/colaborador que terá a atribuição de
receber as solicitações e iniciar o processo para respondê-las
no prazo de até 02 dias quando se tratar de confirmar a exis-
tência do tratamento ou ter acesso aos dados pessoais, de for-
ma simples ou uma declaração completa; e no prazo de 15
(quinze) dias, para as outras solicitações.
Como boa prática, estabelecer um fluxo de processos

para esse atendimento é essencial, para que a solicitação seja
atendida pontualmente, bem como efetuar treinamento e va-
lidação do processo, estabelecendo respostas padrões para
cada tipo de solicitação.
227
O cenário de uma instituição de ensino demanda di-

versos tratamentos de dados, dentre os quais sensíveis, de
crianças e adolescentes, envolvendo riscos que devem ser
mensurados, de forma que se permita a continuidade da ati-
vidade com a utilização de dados pessoais para atender o ob-
jeto contratual, em si, que é a prestação de serviço (ensino),
bem como atender as resoluções do MEC e legislações que se
referem à educação, como visto que é dever das instituições
compartilhar dados pessoais com a União, para promoção
de política pública, o que se impõe a observância da Lei de
Acesso à Informação, que não foi alvo deste artigo.
Assim, com a prática e a implementação em algumas

instituições, percebe-se que agir já é um dos diferenciais dos
gestores, aliando-se às recomendações aqui expostas, que
não são exaustivas e que demandam uma equipe coesa e
com profissionais do jurídico, da tecnologia da informação,
de projetos, dos recursos humanos e qualquer outra expertise
que possa contribuir para o sucesso da execução do projeto de
adequação em uma instituição de ensino.
228
AS MEDIDAS DE SEGURANÇA E A ACCOUNTABILITY

DO AGENTE DE TRATAMENTO DE DADOS PESSOAIS
NO ÂMBITO EXTRAJUDICIAL
Eduarda Chacon Rosas1 e Sayuri Pacheco Hamaoka2
I. INTRODUÇÃO
Em um contexto regulatório que busca envolver tan-

to o setor público como o privado na construção de normas,
soluções e boas práticas, nasceu a Lei Geral de Proteção de
Dados (LGPD) com o intuito duplo de unificar a regulação
dos instrumentos de proteção aos dados pessoais e de cons-
cientizar a sociedade de modo geral para a importância da
privacidade e dos dados pessoais.
O modo com que os agentes de tratamento lidam com
tais dados deve ser analisado de forma personalizada, o que,
por consequência, exige medidas de proteção e sanções di-
versas. Não foi por outra razão que a LGPD, seguindo uma
orientação euro-centrada, adota uma abordagem focada na
gravidade da situação para gradação e análise dos riscos e dos
danos decorrentes do tratamento de dados pessoais. Desde o
início da vigência da lei, portanto, os agentes de tratamento
têm passado por processos de adequação que consideram a
1
Advogada. Mestre em Direito pela UNB. ECPC-B DPO pela Maastricht
University. Pesquisadora no IDP.
2
Graduanda de Direito na Universidade de Brasília - UNB, com intercâm-
bio na Universidade de Salamanca – USAL (previsão: 2022-2023). Mem-
bro-assistente do Grupo de Estudos “Observatório da LGPD” e membro
do “Grupo de Estudos em Arbitragem - GEA” da UNB.
229
aplicação das leis, as possíveis sanções administrativas, o im-

pacto financeiro e reputacional de suas condutas, as incertezas
jurídicas e regulatórias e as soluções disponíveis no mercado.
Importante notar que a Autoridade Nacional de Prote-
ção de Dados (ANPD) ainda não regulamentou as medidas de
segurança adequadas de que trata o art. 46, caput, da LGPD,
para a garantia de um tratamento de dados pessoais adequado
e/ou para a mitigação de riscos. Diante disso, os agentes de
tratamento têm recorrido, de modo amplo, a tipos diferentes
de abordagem do problema: (i) adoção de standards interna-
cionais de segurança para proteção de dados ou da privaci-
dade, conforme conveniência; (ii) adoção do padrão ISO da
ABNT nos termos do art. 39 do Código de Defesa do Consu-
midor e do Acórdão nº 1384/2022 do TCU, ou (iii) adoção da
solução padronizada dentro de um dado setor.
Fato é que a ausência de uma regulação específica pela
agência reguladora abre margem à adoção das três soluções aci-
ma o que, em última instância, resulta na necessidade de que ela
própria – ou o Judiciário – examine casuisticamente a adequação
de um set de medidas de segurança face a um incidente concreto.
II. A ATUAÇÃO DA ANPD
No Parecer (CN) nº 1, de 2019, da Comissão Mista da

Medida Provisória nº 869, de 2019, ato que instituiu a ANPD
(posteriormente convertido na Lei nº 13.853, de 8 de julho de
2019), é possível perceber o objetivo do Poder Legislativo de criar
uma autoridade nacional forte e independente, com estrutura e ca-
pacidade técnica para “defesa dos direitos dos titulares de dados
pessoais e para a inserção do Brasil no mercado global de fluxo
230
de dados pessoais”3. Nessa perspectiva, é de se notar que uma

autoridade nacional dessa envergadura é a regra em países como
Reino Unido, Itália, França, Japão, Argentina e Uruguai4. Mais:
cerca de 80% dos 120 países que possuem leis vigentes sobre pro-
teção de dados contam com órgão de controle análogo5.
No contexto, as premissas compartilhadas pelos
agentes públicos e privados imersos no debate podem ser sin-
tetizadas em: (i) centralização para uma maior consistência
e certeza regulatórias; (ii) independência e corpo funcional
constituído por pessoas especializadas à altura da expecta-
tiva do setor; e (iii) capacidade institucional de manejar os
institutos da LGPD em cenários diferentes, a partir de uma
visão multisetorial que inclua a participação na formulação
de políticas públicas e sintonize as demandas regulatórias
do setor público e privado. É nesse contexto de alinhamento
entre Poder Público e a sociedade civil que se chegou a um
denominador comum sobre a importância da ANPD e a indis-
pensabilidade de prerrogativas de atuação para desempenho
de suas atribuições.
Suas atribuições podem ser divididas em quatro blocos,
todos decorrentes de funções de natureza normativo-interpre-
tativa, fiscalizatória e integrativa. São eles: (a) editar normas e
estabelecer procedimentos sobre a proteção de dados pessoais;
3
Parecer (CN) nº 1, de 2019, da Comissão Mista da Medida Provisória nº
869, de 2018, que altera a Lei nº 13.709, de 14 de agosto de 2018, para
dispor sobre a proteção de dados pessoais e para criar a Autoridade Nacio-
nal de Proteção de Dados, e dá outras providências. Presidente: Senador
Eduardo Gomes. Relator: Deputado Orlando Silva. Relator Revisor: Se-
nador Rodrigo Cunha. 07 de maio de 2019, p. 44.
4
Idem, ibidem.
5
Greenleaf, Granham. Data Privacy Authorities, 2017. Growing Signifi-
cance of Global Networks. 146 Privacy Laws & Business International
Report, 14, UNSWLRS 44, 2017.
231
(b) requisitar, a qualquer tempo, informações aos controladores

e operadores de dados pessoais que realizem o tratamento de
dados pessoais; (c) fiscalizar e aplicar sanções em caso de des-
cumprimento da legislação de regência, por meio de processo
administrativo que assegure contraditório e ampla defesa; e (d)
promover ações de cooperação com autoridade de proteção de
dados pessoais de outros países, seja de natureza internacional
ou transnacional6. O rol de atribuições envolve 24 dispositivos,
com abrangência própria das Agências Reguladoras setoriais,
pois essa é a ideia por trás da ANPD.
Mas não é só. O legislador fez questão de acrescentar,
no art. 55-K, que “[A] aplicação das sanções previstas nesta Lei
compete exclusivamente à ANPD, e suas competências prevale-
cerão, no que se refere à proteção de dados pessoais, sobre as
competências correlatas de outras entidades ou órgãos da ad-
ministração pública”. É diante desse contexto de atuação corre-
tiva e fortes poderes correlatos que a literatura especializada não
receia em dizer que “[E]ssa atribuição da Autoridade talvez seja
a mais tradicional de um Autoridade Regulatória”7.
A partir da mesma linha de raciocínio, o parágrafo
único do artigo citado dispõe que “[A] ANPD articulará sua
atuação com outros órgãos e entidades com competências
sancionatórias e normativas afetas ao tema de proteção de
dados pessoais e será o órgão central de interpretação des-
ta Lei”. Vale dizer: o legislador foi enfático ao delegar à
6
Rafael Souza Paiva de Barros e Gianne Glória Lima Ferreira. Comentá-
rios ao capítulo IX. In: Comentários à Lei Geral de Proteção de Dados:
Lei 13.709/2018. Bruno Feigelson e Antonio Henrique Albani Siqueira
(coords.). São Paulo: Thomson Reuters Brasil. 2019. pp. 206-7.
7
Andriei Gutierrez. Viviane Nóbrega Maldonado, Renato Opice Blum
(coords.). LGPD: Lei Geral de Proteção de Dados comentada. São Paulo:
Thomson Reuters Brasil. 2019. P. 398.
232
ANPD o dever de articulação da atuação do Poder Público

no sistema de proteção de dados. E mais: foi proposital-
mente categórico ao centralizar na Autoridade Nacional a
prerrogativa de interpretar o novo diploma legislativo. Não
há dúvidas, portanto, quanto à opção legislativa.
Sob uma ótica de compreensão global da ANPD, é in-
tuitivo exercerá um papel nacional central no sistema brasilei-
ro de proteção de dados pessoais, regulando procedimentos,
abrindo caminhos e corrigindo incisivamente rumos inadequa-
dos. É preciso ter em mente, portanto, que “[As] condições
regulatórias traçadas pela ANPD terão influência direta na
maneira como as empresas brasileiras consomem serviços es-
pecializados e se diversificam, na forma como se inserem nas
cadeias globais de valor e até nas exportações de serviços”8.
III. TRATAMENTO DE DADOS PESSOAIS
A LGPD dispõe, em seu art. 44, que o tratamento de

dados pessoais somente será irregular, ou seja, ilícito, quan-
do “não observar a legislação” ou “não fornecer a seguran-
ça que o titular dele pode esperar”. Nessa última hipótese,
é necessário observar, ainda, os “riscos que razoavelmente
dele se esperam” (art. 44 da LGPD).
Nesse contexto, para se implementar e avaliar ferra-
mentas que adequem o nível de proteção ao risco de exposição,
é válido levar em consideração circunstâncias como “a nature-
za dos dados pessoais, o escopo, o contexto, o motivo do tra-
tamento e o impacto nos direitos e liberdades dos titulares”9.
8
Idem, p. 402.
9
Sombra, Thiago. Planos de resposta a incidentes de segurança com dados
pessoais e a construção de uma governança responsiva. In: Compliance e
Políticas de Proteção de Dados, Ricardo Vilas Bôas Cueva, Ana Frazão,
coord. São Paulo: Thomas Reuters, Brasil, 2021, p. 607
233
Além disso, segundo a ANPD, incidente de segurança

é “qualquer evento adverso confirmado, relacionado à viola-
ção na segurança de dados pessoais”10. A LGPD, a seu turno,
adota um rol exemplificativo a respeito do que seriam inci-
dentes no art. 46: (i) de acessos não autorizados e (ii) de si-
tuações acidentais ou ilícitas de destruição, perda, alteração,
comunicação ou qualquer forma de tratamento inadequado
ou ilícito. Perceba-se que a própria lei faz uma distinção clara
entre dois tipos de incidentes: aqueles que comprometem de
modo relevante o conceito de “segurança da informação” e
aqueles que não comprometem.Com base nestas premissas,
é possível examinar (i) a gravidade dos riscos (antecipáveis),
como causa, (ii) os incidentes de segurança, como evento e
(iii) os impactos (riscos e danos potenciais ou concretos) que
são impostos aos titulares, como consequências.
A distinção entre a gravidade do risco, do inciden-
te e do impacto é importantíssima. Basta pensar na hipótese
de um incidente de segurança consistente em vazamento de
dados pessoais (data breach). Este tipo de ocorrência costu-
ma ter uma expectativa de relevância pela potencialidade de
exposição e repercussão quantos aos titulares.
Nada obstante, mesmo em uma hipótese de vazamento
de dados, é necessário realizar uma análise objetiva da situação
que, mais frequentemente do que se imagina, conduzirá a um
parecer pela irrelevância do episódio. E sendo o vazamento irre-
levante – baixo risco – não é necessário, no Brasil, nem mesmo
informar à autoridade de proteção de dados (data protection au-
thority – DPA). Note-se que a LGPD determina como critério de
comunicação ä ANPD no art. 48 exatamente a possibilidade de
“risco ou dano relevante”. Já o GDPR estabelece que a ausência
ANPD. Comunicação de incidentes de segurança. Disponível em: <https://

10
www.gov.br/anpd/pt-br/assuntos/incidente-de-seguranca> Acesso em 06.07.22
234
de alto risco é causa para a dispensa de comunicação aos titula-

res dos dados (Consideranda no 86 e art. 34, 1 do GDPR).
IV. ANÁLISES DE RISCO
Viu-se acima que o risco pode estar associado à causa

do incidente de segurança ou à consequência dele. O risco de
ocorrência de incidente pressupõe uma análise prévia ao tra-
tamento (e, temporalmente, a qualquer incidente), enquanto o
risco decorrente do incidente (e do tratamento) já ocorrido pos-
sui mais um viés de (potencial) impacto. Sendo assim, é natural
que o agente de tratamentos se circunde das providências ade-
quadas para reduzir riscos que possam dar causa a incidentes,
adotando medidas de segurança e de privacidade adequadas.
Este risco “prévio” seria aquele a que se refere, para
ilustrar, a Consideranda no 90 do GDPR (General Data Pro-
tection Regulation)11 e o Guia de Avaliação de Riscos de Se-
gurança e Privacidade12, elaborado pela ANPD, que mencio-
na “as medidas, garantias e procedimentos previstos para
atenuar esse risco, assegurar a proteção dos dados pessoais
e comprovar a observância do presente regulamento”.
11
GDPR. Consideranda no 90 - Nesses casos, o responsável pelo tratamento deve-
rá proceder, antes do tratamento, a uma avaliação do impacto sobre a proteção de
dados, a fim de avaliar a probabilidade ou gravidade particulares do elevado risco,
tendo em conta a natureza, o âmbito, o contexto e as finalidades do tratamento e
as fontes do risco. Essa avaliação do impacto deverá incluir, nomeadamente, as
medidas, garantias e procedimentos previstos para atenuar esse risco, assegurar a
proteção dos dados pessoais e comprovar a observância do presente regulamento.
Tradução oficial para português de Portugal disponível em <https://eur-lex.eu-
ropa.eu/legal-content/PT/TXT/HTML/?uri=CELEX:32016R0679&from=EN>.
12
ANPD, Guia de Avaliação de Riscos de Segurança e Privacidade, LEI GERAL
DE PROTEÇÃO DE DADOS PESSOAIS (LGPD), V. 01, Brasília, nov 2020
235
Já o impacto efetivamente decorrente do incidente

de segurança, se estiver associado a um alto risco, é um forte
indicativo de dano/prejuízo. Acontece que no mundo atual e
no cenário prático de pós-privacidade que o mundo enfrenta, a
pulverização prévia de um grande volume de dados pessoais –
resultado de anos e anos de ausência de uma cultura de priva-
cidade – possibilitou a formação de bancos de dados pessoais
robustos que, comumente relativizam o “vazamento” de dados
pessoais mais disseminados, a exemplo dos cadastrais. Deste
modo, o critério de novidade e acessibilidade prévia dos dados
pessoais deve ser levado em conta na avaliação de um incidente.
Pois bem. Com o intuito de determinar a gravidade ou
a ausência de gravidade de um incidente, é possível extrair do
GDPR e da LGPD uma distinção muito clara entre riscos (em
geral) e altos riscos13, onde apenas o “alto risco” é fundamen-
talmente relevante. É o que se observa especificamente no
primeiro diploma, na Consideranda nº 76 que determina que
“O risco deve ser avaliado com base em uma avaliação ob-
jetiva, através da qual é estabelecido se as operações de pro-
cessamento de dados envolvem um risco ou um risco alto”.
A distinção entre risco e alto risco é significativa por-
que o nível de “alto risco” desencadeia obrigações distintas
- o que também será importante na aferição da responsabili-
13
GDPR: Consideranda nº 76 – “A probabilidade e gravidade do risco para
os direitos e liberdades do titular dos dados devem ser determinadas por re-
ferência à natureza, escopo, contexto e objetivos do processamento. O risco
deve ser avaliado com base em uma avaliação objetiva, através da qual é
estabelecido se as operações de processamento de dados envolvem um ris-
co ou um risco alto” e Consideranda nº 86 – “O responsável pelo tratamento
deve comunicar ao titular dos dados uma violação de dados pessoais, sem
demora injustificada, quando essa violação de dados pessoais provavel-
mente resultar em alto risco para os direitos e liberdades da pessoa física, a
fim de permitir que ela tome as providências necessárias precauções”
236
dade (accountability) do agente de tratamento. Para oferecer

um parâmetro do que seria considerado um incidente de se-
gurança com potencial para alto risco, o GDPR enumera na
Consideranda no 75 situações nas quais, a depender da gra-
vidade variável, o incidente poderia eventualmente resultar
em risco de dano: (i) discriminação; (ii) roubo da identidade;
(iii) perdas financeiras; (iv) prejuízos à reputação; (v) per-
das de confidencialidade de dados pessoais protegidos por
sigilo profissional; (vi) inversão não autorizada da pseudoni-
mização; (vii) prejuízos importantes de natureza econômica
ou social; (viii) privação de direitos e liberdades ou perca do
controle sobre os dados pessoais; (ix) vazamento de dados
pessoais sensíveis ou referentes a condenações penais e in-
frações ou medidas de segurança conexas; (x) perfilamento;
(xi) vazamento de dados de pessoas vulneráveis, em particu-
lar crianças; (xii) vazamento de uma grande quantidade de
dados pessoais relativos a um grande número de titulares.
Observe-se que risco não é sinônimo de dano. Em ou-
tras palavras; danos relevantes no contexto da proteção de
pessoais são aqueles que geram as consequências descritas na
Considerada nº 85 do GDPR14.
A importância da gradação de riscos fica clara também a
partir das regras nacionais e internacionais impõem a elaboração
de relatórios de impacto de risco para tratamentos de dados a
GDPR, Considerando nº 85: “Se não forem adotadas medidas adequa-

14
das e oportunas, a violação de dados pessoais pode causar danos físicos,

materiais ou imateriais às pessoas singulares, como a perda de controlo
sobre os seus dados pessoais, a limitação dos seus direitos, a discrimina-
ção, o roubo ou usurpação da identidade, perdas financeiras, a inversão
não autorizada da pseudonimização, danos para a reputação, a perda de
confidencialidade de dados pessoais protegidos por sigilo profissional
ou qualquer outra desvantagem económica ou social significativa das
pessoas singulares. (...)”.
237
partir de determinadas bases legais (DPIA), em caso de transfe-

rências internacionais (TIA) ou por pedido de uma DPA. Des-
tarte, a realização de uma análise de riscos não se traduz como a
realização do tratamento ilícito de dados pessoais, apenas indica
a intensidade de uso daqueles dados, bem como as medidas ne-
cessárias para evitar a ocorrência de danos aos titulares15.
A gestão dos riscos é importante porque pressupõe o
mapeamento dos dados e uma avaliação objetiva dos riscos
para que se determine se o tratamento, para além de apresen-
tar risco também é apto a causar um dano. Por isso, a LGPD
prevê que a ANPD, no plano de sua competência sanciona-
dora, considerará tanto as peculiaridades dos casos como “a
gravidade e a natureza das infrações e dos direitos pessoais
afetados” e “o grau do dano” para a aplicação de sanções. E
mais, o valor das sanções também sopesa a “gravidade da
falta e a extensão do dano ou prejuízo causado”.
V. ADOÇÃO DE MEDIDAS DE SEGURANÇA
O regime de responsabilidade civil previsto na LGPD,

portanto, impõe aos agentes de tratamento, entre outras coisas,
a observância aos deveres de cuidado, de modo que sua atuação
não se restringe a uma atuação reativa, mas também proativa16.
15
Ruiz, Juliana; Franco, Sofia. Gestão de risco em projetos de adequação:
benefícios e desafios de uma abordagem baseada em risco na LGPD. In:
Compliance e Políticas de Proteção de Dados, Ricardo Vilas Bôas Cueva,
Ana Frazão, coord. São Paulo: Thomas Reuters, Brasil, 2021
16
ANPD, Guia de Boas Práticas para Implementação na Administração
Pública Federal. V. 2.0, Ago 2020, p. 50; e Frazão, Ana; Carvalho, Ange-
lo; Milanez Giovana. Curso de proteção de dados pessoais: fundamentos
da LGPD. 1 ed. Rio de Janeiro: Forense, 2022, p. 428
238
O art. 42 da LGPD estabelece que para que o con-

trolador ou operador sejam responsabilizados por danos cau-
sados a outrem, é necessário que haja - além do dano - uma
“violação à legislação de proteção de dados pessoais”, vio-
lação esta que decorre da desconformidade com o art. 46, o
qual, por sua vez, prevê a necessidade de adoção de medi-
das de segurança aptas à proteção dos dados – medidas que,
como se antecipou, não foram objeto de regulamentação.
É muito interessante a sistemática da lei porque
ela ressalva, expressamente, que se do tratamento lícito
decorrer um dano, este não é indenizável. Neste sentido,
Bruno Bioni, Daniel Dias e Frazão, et al., ressaltam a im-
portância em se diferenciar obrigações de meio e obriga-
ções de resultado, pois “no caso de uma obrigação de re-
sultado, a não consecução do resultado almejado implica
uma presunção de culpa em relação ao inadimplemento”17
e, no caso das obrigações de meio, “se o agente de trata-
mento tiver feito o que lhe cabia para prevenir o dano, a
mera ocorrência deste não seria suficiente para ensejar a
sua responsabilização”18.
As medidas de segurança a serem adotadas pelos
agentes, neste viés, seriam em regra obrigações de meio, cujo
descumprimento nem sempre ensejará a responsabilização do
agente de tratamento. Isto é: a medida de segurança não é um
fim em si mesma, mas sim um meio para a garantir a proteção
dos dados de “acessos não autorizados e de situações aci-
dentais ou ilícitas de destruição, perda, alteração, comunica-
17
Bioni, Bruno; Dias, Daniel. Responsabilidade civil na LGPD: constru-
ção do regime por meio de interações com o CDC. In: Bioni, Bruno (org.).
Proteção de dados: contexto, narrativas e elementos fundantes. São Paulo:
B. R. Bioni Sociedade Individual de Advocacia, 2021, p. 420
18
Frazão; Carvalho; Milanez, op cit., p. 437
239
ção ou qualquer forma de tratamento inadequado ou ilícito”.

Ademais, é impossível um agente de tratamento ser imune a
erros, porque as tecnologias estão em constante desenvolvi-
mento, sendo a necessidade de atualização (tal qual ocorre
com os sistemas operacionais) um dado da realidade.
Nesse sentido, o art. 44 da LGPD dispõe que o tra-
tamento irregular se configura “quando não fornecer a se-
gurança que o titular dele pode esperar” e que devem ser
considerados não apenas os riscos, como mencionado, mas
também “as técnicas de tratamento de dados pessoais dispo-
níveis à época em que foi realizado”.
Trata-se, a bem da verdade, da aplicação do princípio
da segurança relativo às atividades de tratamento prestigiado
pela LGPD no art. 6º, inciso VII.
E por esta razão o legislador se deu ao cuidado, no
art. 46 da lei, de estabelecer que as “medidas de segurança,
técnicas e administrativas” devem ser “aptas a proteger os
dados pessoais” – em todos os cenários previsíveis ou “em
condições normais de pressão e temperatura” – para evitar,
em grau ascendente de gravidade: (i) acessos não autoriza-
dos, (ii) situações acidentais ou (iii) ilícitas de destruição, (iv)
perda, (v) alteração e (vi) comunicação dos dados pessoais.
Via de regra, portanto, é potencialmente amplo o
espectro de medidas que poderiam ser aptas a atender a lei.
E a segurança que o titular “razoavelmente espera” precisa
ser uma expectativa juridicamente legítima19. Caso contrá-
rio estar-se-ia cobrando do agente algo infactível, como por
Bioni, Bruno; Dias, Daniel. Responsabilidade civil na LGPD: constru-

19
ção do regime por meio de interações com o CDC. In: Bioni, Bruno (org.).
Proteção de dados: contexto, narrativas e elementos fundantes. São Paulo:
B. R. Bioni Sociedade Individual de Advocacia, 2021, p. 411
240
exemplo “que o fornecedor empregue na proteção dos meus

dados as medidas de segurança utilizadas pelo Departamen-
to de Defesa de Israel”.
Além disso, não se pode pretender que todos os
agentes adotem qualquer tecnologia disposta no mercado,
pelo simples fato de as técnicas estarem disponíveis à época
do tratamento. Como dito, é preciso que se faça uma inter-
pretação objetiva e causal das soluções de mercado padrão
utilizadas em um determinado segmento de atuação, consi-
derando inclusive os riscos relacionados ao tratamento que
aquele agente realiza.
VI. UTILIZAÇÃO DE DIFERENTES FRA-

MEWORKS
A LGPD é uma lei substancialmente principiológica,

em consonância os modelos internacionais de regulação da
proteção de dado e o seu conteúdo não se propõe a exaurir o
debate, mas antes orientá-lo. Com efeito, tanto a LGPD quan-
to o GDPR são normas principiológicas que servem como
verdadeiros códigos de conduta, e que, por essência, visam a
fiscalização e a resolução célere dos problemas – frentes de
atuação muito diferentes do contencioso com todos os trâmi-
tes e prazos inerentes. São, pois, regras que orientam a imple-
mentação de medidas apropriadas, análises de risco, correção
de falhas e conscientização, sob pena de sanções administra-
tivas (responsabilização – accountability)20.
(i) Recommendation of the Council concerning Guidelines governing the

20
protection of privacy and transborder flows of personal data. Organisation

for Economic Co-operation and Development (OECD), 23.07.1980. Di-
241
Um dos resultados práticos desta tendência é a au-

torregulação dos próprios regulados (e até a autorregulação
regulada), cabendo ao Estado, especificamente à Autoridade
Nacional, validar, suprir e regulamentar as regras e os com-
portamentos adotados pelo setor privado21.
O que tem ocorrido, especificamente no campo da
adoção de medidas de segurança adequadas, é a eleição, pe-
los agentes de tratamento, das medidas que são efetivamente
suficientes, razoáveis e proporcionais, considerada as particu-
laridades (inclusive riscos) dos tratamentos que eles realizam.
Daí porque cria-se a expectativa de que, fiscalizados
espontaneamente pela DPA ou denunciados, cada agente, em
relação ao tratamento de dados pessoais que for questiona-
do (ou ao conjunto de tratamentos), terá a oportunidade de
demonstrar que adotou a solução médica de mercado. Isto
tudo dentro do que razoavelmente podia se esperar a título
de salvaguardas para os riscos enfrentados, considerando as
ferramentas disponíveis/acessíveis.
Na pendência de um parâmetro mínimo “oficial”, de-
signado pelo órgão regulador, é comum a adoção de medidas
sponível em http://www.oecd.org/internet/ieconomy/oecdguidelinesonthe-
protectionofprivacyandtransborderflowsofpersonaldata.htm; (ii) Data Pro-
tection Working Party, ‘Opinion 3/2010 on the principle of accountability’.
Article 29. WP 173, 13.07.2010. Disponível em http://ec.europa.eu/justice/
policies/privacy/docs/wpdocs/2010/wp173_en.pdf,e (iii) A comprehensive
approach on personal data protection in the European Union. Communi-
cation from the Commission to the European Parliament, the Council, the
Economic and Social Committee and the Committee of the Regions. No-
vembro de 2010. Disponível em https://eur-lex.europa.eu/LexUriServ/Le-
xUriServ.do?uri=COM:2010:0609:FIN:EN:PDF. Acesso em 24 jul 2022.
21
De Lucca, Newton; Simão Filho, Adalberto; Lima, Cíntia Rosa Pereira
de (coords.). Direito & Internet III – Tomo I: Marco Civil da internet (Lei
n. 12.965/2014) – São Paulo: Quartier Latin, 2015, p. 450
242
de segurança mais frequentes, como criptografia e antivírus,

treinamento de funcionários, firewall, uso de softwares ex-
clusivos desenvolvidos internamente, políticas de segurança
cibernética22, destacando-se as normas ISO/IEC da Interna-
tional Organization for Standardization e da International
Electrotechnical Comission, que são também validadas pela
Associação Brasileira de Normas Técnicas – ABNT23 e já
foram suscitadas pela ANPD no Guia de Boas Práticas para
Implementação na Administração Pública Federal24 e consta
do Acórdão nº 1384/2022 do TCU.
A certificação destas normas depende do atendimento
de certos padrões de segurança, que são avaliados por audi-
torias e especialistas de países distinto com objetivo de pro-
mover padrões de gerenciamento de segurança para “ajudar
a manter as informações confidenciais seguras”25.
Quando a situação envolve direito do consumi-
dor, as normas ISO/IEC têm ainda mais valor, uma vez
que a garantia de padrões adequados de segurança por
certificações da ABNT está respaldada nos arts. 4, I, d e
39, VIII do Código de Defesa do Consumidor. Assim, a
conformidade com normas da ABNT atinge, inclusive, a
legítima expectativa do consumidor 26 quanto a tais me-
22
Sombra, op cit, p. 600
23
Exemplificativamente: ISO/IEC 27001:2013/Cor 2:2015 - Sistema de
Gerenciamento da Segurança da Informação e ISO/IEC 27002:2017 - Có-
digo de prática para controles de segurança da informação. Disponíveis
em: <https://www.abntcatalogo.com.br/>. Acesso em 07.07.2022
24
ANPD, op. cit, p. 54-56
25
ISO STANDARDS. Disponível em <https://www.iso.org/standards.
html> Acesso em 07.07.2022
26
A este respeito, José Filomeno afirma: “É ainda mister salientar, neste
passo, que por qualidade há de se entender não apenas que determinado
produto ou serviço foi certificado, isto é, está de acordo com a respectiva
243
didas de segurança, tanto pelo viés consumerista, como

pelo viés de tratamento de dados.
Há, ainda, outros frameworks de segurança como os
FIPPs (práticas justas de informação), diretrizes da OCDE,
Princípios de privacidade geralmente aceitos (GAPP), regras
da APEC ou do Instituto Europeu de Normas de Telecomu-
nicações. Além disso, há soluções de segurança como pri-
vacy and security by design e by default, COBIT 2019 (da
ISACA), NIST, recomendações da ANISA (NIS), etc. Para a
proteção da privacidade, aplicam-se com mais rigor os resul-
tados da Taxonomia da Privacidade de Daniel Solove e mo-
delos como Ryan Calo, Nissenbaum, FIPPS, NIST e análises
dos fatores de risco à informação (FAIR).
VII. CONCLUSÃO
A configuração da responsabilidade civil no âmbito

da proteção de dados demonstra que não basta a mera viola-
ção à lei ou até a prova de um dano, lato senso, ao titular dos
dados pessoais. Uma miríade de fatores deve ser considerada
para que se conclua pela responsabilização efetiva do agen-
te de tratamento, passando pela violação legal, pela ausên-
cia de excludentes de responsabilidade, pelas consequências
do tratamento e por todo o ciclo de manipulação dos dados,
gradação de riscos e dos prejuízos, medidas de prevenção e
mitigação e efeitos práticos do incidente.
Daí porque é relevante que os estudiosos e aplicadores se
questionem o que entabula a afirmação legal contida no artigo 46 da
LGPD de que os agentes serão responsáveis pela violação da segu-
norma técnica, como também que atende às expectativas do consumidor.”
Em Direitos do consumidor. 15. ed. São Paulo: Atlas, 2018.
244
rança dos dados quando deixarem de adotar as medidas de seguran-

ça mínimas ou adequadas, mas não se sabe que medidas são essas.
O propósito deste trabalho era demonstrar que no
silêncio da ANPD – e sendo dela a competência para re-
gulamentar e interpretar A Lei Geral de Proteção de Dados
– há diversas possibilidades de compliance legal, a partir
da adoção de um ou mais frameworks de segurança da in-
formação e proteção de dados pessoais. A suficiência das
medidas deverá ser apreciada casuisticamente pela ANPD,
consideradas as atividades exercidas pelo agente, os riscos
envolvidos, a adequabilidade da análise de riscos e todas
as escolhas, ações e omissões do controlador ou operador
num dado contexto.
À parte, há ainda a possibilidade de debate judicial.
Este, contudo, inclui considerações diversas que não foram
objeto deste estudo, como é a necessidade prévia ou não de
análise do problema pela ANPD (cabendo a revisão judicial
da decisão da DPA), bem como a (im)pertinência de que o
Judiciário se antecipe à autoridade na interpretação da lei ou
que aplique regra hermenêutica diversa e oposta.
Isso porque a LGPD determina que a autoridade ar-
ticule sua atuação com outros órgãos e entidades de compe-
tências sancionatórias e normativas relacionadas ao tema de
proteção de dados pessoais (art. 55-J, XXIII), mas ressalva
que caberá à ANPD deliberar, em caráter terminativo, sobre a
interpretação, competências e casos omissos (art. 55-J, XX).
Fato é que a LGPD é uma lei recente, com apenas
dois anos de vigência, período no qual é possível observar
que muito há ainda de ser regulado e decidido pela ANPD, re-
centemente alçada ao status de entidade autônoma e indepen-
dente. Há uma expectativa de que esta “promoção” permita
uma ampliação institucional da DPA, que ainda opera majori-
245
tariamente com um quadro funcional de servidores cedidos e

com orçamento restrito.
Basta pensar, para entender a magnitude do desafio da
ANPD, que enquanto agências reguladoras como ANATEL,
ANEEL, e ANAC possuem funcionários de carreira e um
amplo quadro funcional para atuar em setores delimitados da
econômica, já altamente regulados e com amplo arcabouço
histórico; a autoridade nacional possui jurisdição sobre todos
os setores de toda a economia, o que faz com um corpo redu-
zido de colaboradores e dentro de um panorama tecnológico
inovador, disruptivo e dinâmico.
Não há dúvidas de que com o tempo se definirá se o
Brasil, em matéria de proteção de dados, por meio da ANPD,
elaborará um framework de segurança e privacidade próprio
ou se aderirá a um ou vários dos já estabelecidos. Até lá, cabe
aos agentes de tratamento documentar, de modo sistemático
e constante, que providências e que cuidado tomou, tanto no
âmbito técnico quanto no jurídico, para realizar o tratamento
lícito e seguro de dados pessoais.
VIII. REFERÊNCIAS BIBLIOGRÁFICAS
BIONI, Bruno; DIAS, Daniel. Responsabilidade civil na

LGPD: construção do regime por meio de interações com o
CDC. In: BIONI, Bruno (org.). Proteção de dados: contex-
to, narrativas e elementos. São Paulo: B. R. Bioni Socieda-
de Individual de Advocacia, 2021, p. 394 – 425.
BRASIL. Lei nº 12.965, de 23 de abril de 2014. Marco Civil
da Internet. Estabelece princípios, garantias, direitos e deve-
res para o uso da Internet no Brasil.
246
BRASIL Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de

Proteção de Dados Pessoais (LGPD).
DE LUCCA, Newton; SIMÃO FILHO, Adalberto; LIMA, Cíntia
Rosa Pereira de (coords.). Direito & Internet III – Tomo I: Marco
Civil da internet (Lei n. 12.965/2014). São Paulo: Quartier Latin, 2015
FILOMENO, José Geraldo Brito. Direitos do consumidor.
15. ed. São Paulo: Atlas, 2018.
FRAZÃO, Ana; CARVALHO, Angelo; MILANEZ Giova-
na. Curso de proteção de dados pessoais: fundamentos da
LGPD. 1. ed. Rio de Janeiro: Forense, 2022.
ROSENVALD, Nelson; Júnior, José. Accountability e miti-
gação da responsabilidade civil na Lei Geral de Proteção de
Dados Pessoais. In: CUEVA, Ricardo Vilas Bôas; FRAZÃO,
Ana (coord). Compliance e Políticas de Proteção de Dados.
São Paulo: Thomas Reuters, 2021, p. 771-807
RUIZ, Juliana; FRANCO, Sofia. Gestão de risco em projetos
de adequação: benefícios e desafios de uma abordagem ba-
seada em risco na LGPD. In: CUEVA, Ricardo Vilas Bôas;
FRAZÃO, Ana (coord). Compliance e Políticas de Prote-
ção de Dados. São Paulo: Thomas Reuters, 2021, p. 513-544
SOMBRA, Thiago Luís. Planos de resposta a incidentes de
segurança com dados pessoais e a construção de uma gover-
nança responsiva. In: CUEVA, Ricardo Vilas Bôas; FRA-
ZÃO, Ana (coord). Compliance e Políticas de Proteção de
Dados. São Paulo: Thomas Reuters, 2021, p. 605-619
247
MAPEAMENTO DE DADOS PESSOAIS
Eduardo Maroso
O interessante do mapeamento de dados pessoais é o momento

em que se aplica diversas cláusulas da LGPD que foram tratadas ante-
riormente nesta publicação. É exatamente nesta atividade que devemos
registrar todo o ciclo de vida do dado pessoal que está sendo tratado.
Neste capítulo vamos detalhar o mapeamento de dados,
que apesar de ser uns dos processos que exigem bastante esforço
da equipe de proteção de dados, é também, uma atividade que traz
algumas dificuldades em seu entendimento além de alguns desafios
de como desenvolver este mapa.
Por isso vamos conversar sobre alguns conceitos.
I. O QUE É MAPEAMENTO DE DADOS?
É o registro que deve conter toda a trilha que o dado pes-

soal percorre em uma atividade de tratamento. Trata-se de uma ca-
talogação que é essencial para o processo de adequação da empresa
com a LGPD. O resultado deste mapa deve demonstrar o caminho
percorrido que o dado pessoal transita nos processos, com as pes-
soas e na tecnologia.
Existe várias maneiras de atingir este objetivo – seja por

meio de planilha eletrônicas, sistema específicos ou até por vi-
sualização gráfica. O resultado tem que ser o compromisso que
seja simples e fácil entender como o dado pessoal inicia na coleta,
como é realizado tratamento de acordo com o regramento da legis-
lação até o momento de sua exclusão .
248
Lembre-se, esta é uma atividade continua, que deve ser atua-

lizada constantemente, porque novos processos são inseridos, modifi-
cados ou até excluídos de forma muito dinâmica a todo o tempo.
II. QUAL O OBJETIVO QUE O MAPEAMENTO DEVE

ALCANÇAR?
Dentre os diversos objetivos podemos elencar alguns deles:

a) Centralizar o catálogo de dados pessoais em um único local,
facilitando a manutenção e atualização;
b) Facilidade de fornecer acesso e visualização de como os dados
pessoais são organizados em todos os processos;
c) Possibilidade de identificar não conformidades no tratamento e
no processo;
d) Facilidade de encontrar redundância do uso dos dados pessoais;
e) Garantir que o tratamento atenda os requisitos da LGPD e de-
mais legislações.
III. QUANTO AOS SEUS BENEFÍCIOS, QUAIS SÃO?
Ao realizar o mapeamento de dados pessoais, terá o bene-

fício de atender o 1Art. 37 da LGPD que resultará nos registros de
tratamento de todos os dados que são tratados em sua instituição,
sendo que este instrumento deverá ser mantido e compartilhado
com a 2ANPD quando solicitado.
Como proteger algo que você desconhece? Com o mapea-
mento dos dados sua visão será clara quanto aos tipos de dados pes-
1
LGPD - Art. 37 - O controlador e o operador devem manter registro
das operações de tratamento de dados pessoais que realizarem , especial-
mente quando baseado no legítimo interesse.
2
LGPD – Art.50 - II - demonstrar a efetividade de seu programa de
governança em privacidade quando apropriado e, em especial, a pedido
da autoridade nacional ou de outra entidade responsável por promover o
cumprimento de boas práticas ou códigos de conduta, os quais, de forma
independente, promovam o cumprimento desta Lei.
249
soais que são tratados, os processos por onde eles trafegam, quais os
sistemas e quais as medidas de segurança que são aplicadas.
Como saber quais riscos de privacidade? A LGPD clas-
sifica 310 hipóteses de tratamento dos dados que devem ter sua
aplicação correta, os riscos de privacidade devem ser assumidos
pelo Encarregado de Proteção.
Priorizar seus esforços e recursos na aplicação de trata-
mento de dados que demonstram maior risco é um dos benefícios
do mapeamento de dados. Ao conclui-lo esta ferramenta irá de-
monstrar os tratamentos de dados que devem ter prioridades, como
por exemplo um sistema de RH que sempre trata dados pessoais
sensíveis.
Sua organização realiza transferência de dados interna-
cionalmente? Dentro do mapeamento de dados, tornar-se facilmen-
te a identificação de quais dados pessoais são transferidos além das
fronteiras, possibilitando aplicação de medidas técnicas e adminis-
trativas com o proposito de mitigar os riscos destes tratamentos.
Fácil gerenciamento das solicitações dos titula-
res. Pela necessidade de identificar todos os ativos de tecno-
logia que realizam processamento de dados pessoais, a lo-
calização quando necessário se fará de forma muito precisa.
IV. ALGUNS DESAFIOS.
Existem diversos desafios, sendo que o maior deles é

conquistar o envolvimento da sua equipe em prover as informa-
ções necessárias para o mapeamento de dados, que com certeza,
os dados pessoais transitam por inúmeros departamentos de sua
organização, desde a sua coleta até o seu fim do tratamento.
3
LGPD –Art. 6º As atividades de tratamento de dados pessoais deverão
observar a boa-fé e os seguintes princípios: incisos I,II,III,IV,V,VI,VII,-
VIII,IX e X.
250
Nem todos da sua equipe estão familiarizados com os

conceitos de proteção de dados, tornando em algum momento uma
barreira para que a informação desejada para o mapeamento de
dados não seja de boa qualidade. É uma boa prática realizar inú-
meras capacitações de sua equipe e manter um canal contato de
comunicação de fácil acesso. Essas ações serão primordiais para o
bom resultado do seu mapeamento de dados.
Claro que sair do zero onde o estado de inercia predomi-
na seja este o maior desafio para iniciar o mapeamento de dados
pessoais, por isso que a capacitação é o ponto inicial deste trabalho.
1. Realizando mapeamento de dados utilizando uma
planilha.
Sim, você não precisa de um sistema específico para
esta atividade, claro que sistema automatizado geram maior se-
gurança, compartilhamento, painéis entre outras facilidades. Para
quem está começando, uma planilha irá te atender perfeitamente.
Vamos lá!
Iremos trabalhar com a seguinte estrutura organizacional:
- Estrutura Gerencial;
Dica: crie subpastas para cada departamento, porque
cada departamento possui muitos processos outros não, e o tempo
de resposta também são diferentes.
No cabeçalho identifique o autor (responsável pela ad-
ministra tação do mapeamento) e seus contatos.
Vamos criar as colunas!
- I Grupo de colunas: Identificação do proces-
so de negócio/serviços e seus responsáveis:
- 1ª coluna: identificar o tratamento de dados que envolve o negó-

cio. Por exemplo; Propostas Comerciais, Atestado Médico, Candi-
datos emprego, Lista de Contato, Currículos, Cadastro de clientes...
251
- 2ª coluna: departamento responsável que o trata-

mento. Por exemplo: Financeiro, DP, Comercial....
- 3ª coluna: Nome do Responsável pela atividade de tratamento.
- 4ª coluna: Data de Atualização. A primeira data sempre
será a de criação. Esta informação é extremamente importante e que
deve manter sempre que um processo modificar seu clico de vida.
Visualização do I Grupo:
Processo de Negócio ou Serviços e Responsáveis
Processo de Responsável Data

Depto.
Negócio pelo Processo Atualização
Sistema Ponto Recursos Hu-

Fulano 30/set/21
Eletrônico manos
Propostas Co-
Vendas Ciclano 10/11/2021
merciais
Help Desk (pro-
TI Beltrano 03/04/2022
prio)
- II Grupo de colunas: Declarar quais os agentes de tratamento;

Controlador, Operador e Encarregado.
- 1ª coluna: Controlador4, a quem competem as decisões referentes
ao tratamento de dados pessoais.
- 2ª coluna: Operador5, responsável por realizar o tratamento de
dados pessoais em nome do controlador.
- 3ª coluna: Encarregado6 pelo tratamento de dados, indicado pelo
Controlador.
4
LGPD - Art. 5º - VI - controlador: pessoa natural ou jurídica, de direito
público ou privado, a quem competem as decisões referentes ao tratamen-
to de dados pessoais;
5
LGPD - Art. 5º - VII - operador: pessoa natural ou jurídica, de direito
público ou privado, que realiza o tratamento de dados pessoais em nome
do controlador;
6
LGPD – Art. 5º - VIII - encarregado: pessoa indicada pelo controlador e ope-
rador para atuar como canal de comunicação entre o controlador, os titulares
dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);
252
- 4ª coluna: Conta de email de contato do encarregado.
Visualização do II Grupo:
Agentes de Tratamento
Controlador Operador Encarregado Contato Encarregado
Fornece-
dor 1
Empresa 1 Fulano encarregado@xxx.xxx
Fornece-
dor 2
- III Grupo de colunas: Ciclo de vida dos dados pessoais.

- 1ª coluna: Coleta7 – descreva qual a finalidade do tra-
tamento. Por que estão coletando estes dados pessoais?
- 2ª coluna: Dados tratados – relacio-
na todos os dados pessoais tratados por esta coleta.
- 3ª coluna: Retenção8 - defina qual o prazo que os dados pessoais
serão armazenados.
- 4ª coluna: Processamento – qualquer transação que envol-
ve dados pessoais. Por exemplo; salvar, organizar, editar...
- 5ª coluna: Compartilhamento – informe de que informe os dados
são compartilhados com os operadores identificado anteriormente.
- 6ª coluna: Eliminação9 – de que forma os dados são descartados.
7
LGPD – Art. 6º - I - finalidade: realização do tratamento para propósitos
legítimos, específicos, explícitos e informados ao titular, sem possibilida-
de de tratamento posterior de forma incompatível com essas finalidades;
8
LGPD - Art. 5º - XIV - eliminação: exclusão de dado ou de conjunto de
dados armazenados em banco de dados, independentemente do procedi-
mento empregado;
9
LGPD – Art. 5º - XIV - eliminação: exclusão de dado ou de conjunto
de dados armazenados em banco de dados, independentemente do pro-
cedimento empregado;
253
Visualização do III Grupo:
Ciclo de Vida dos Dados Pessoais

Dados
Coleta Retenção Processamento Compartilhar Eliminação
Tratados
Realizada
dados são De acordo
através Matrícula Sistema de
armazenados com a
de leitura e nome do xx dias Folha de
na memoria do legislação
do relógio colaborador Pagamento
relógio ponto. trabalhista.
ponto
Nome do exclusão do
dados são
cliente, diretório
editados em por email
Cadastro endereço, caso
xx dias editor de texto ao enviar a
dos clientes cidade, não haja
no diretório proposta .
email, interesse
comercial
telefone do cliente.
exclusão
dados
de xx dias
Nome do necessários
Site interno conforme
colaborador, xx meses para identificar não se aplica.
Chamados definido
matrícula o pedido do
pela equipe
chamado.
de TI.
- IV Grupo de colunas: Ambiente Jurídico.- 1ª coluna: Base Le-

gal10 – Selecione adequadamente qual das 10 hipótese para o
tratamento dos dados pessoais que estão sendo processados.
- 2ª coluna: Contrato11 com operadores e colabo-
radores – todos os contratos devem possuir clau-
sulas de confidencialidade e de proteção de dados.
- 3ª coluna: Acordo de Processamento de Dados (DPA) – do-
cumento formal entre controlador e processador que deve
ser tratado questões como níveis de segurança, auditoria,
backups, retenção, identificação de sub-operadores, etc.
- 4ª coluna: Aviso Privacidade – demonstrar aos titulares como se-
rão tratados os dados pessoais.
10
LGPD - Art. 7º O tratamento de dados pessoais somente poderá ser
realizado nas seguintes hipóteses: (do I ao X)
11
LGPD - Art. 42. O controlador ou o operador que, em razão do exercí-
cio de atividade de tratamento de dados pessoais, causar a outrem dano
patrimonial, moral, individual ou coletivo, em violação à legislação de
proteção de dados pessoais, é obrigado a repará-lo.
254
Visualização do IV Grupo:
Ambiente Jurídico
Contratos Contratos Termo

Base Legal DPA
Operadores Colaboradores Privacidade
Contrato atualizado
Execução de Contrato Contrato
Confidencialidade não se aplica
Contrato atualizado atualizado
Ok
Disponível
não se
Consentimento não se aplica não se aplica no site e
aplica
atualizado
Contrato atualizado
Execução de não se
não se aplica Confidencialidade não se aplica
Contrato aplica
Ok
- V Grupo de colunas: Ambiente de segurança da informação – re-

gistro de quais medidas de segurança12 estão implantadas.
- 1ª coluna: Classificação do dado pessoal – definir se o

dado pessoal é: Confidencial, Sigiloso, Interno ou Público.
- 2ª coluna: Política de Segurança – documento onde
consta todas normas e diretrizes a todos os colabora-
dores que utilizam infraestrutura de TI da empresa.
- 3ª coluna: Medidas de Segurança - são ações que irão garan-
tir a confidencialidade; a integridade; a disponibilidade; a au-
tenticidade e a legalidade do tratamento de dados pessoais.
- 4ª coluna: Guardar – a garantia de como os dados pessoais serão
armazenados de forma segura.
LGPD - Art. 6º - VII - segurança: utilização de medidas técnicas e administrati-

12
vas aptas a proteger os dados pessoais de acessos não autorizados e de situações

acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
VIII - prevenção: adoção de medidas para prevenir a ocorrência de danos em
virtude do tratamento de dados pessoais;
255
Ambiente de segurança da Informação
Medidas Segu-
Classificação Dados Política de Segurança Guarda
rança
Backup ativo e
Confidencial ativo controle de acesso
individualizado
perfil de grupo Armazenada nu-

Sigiloso em análise
restrito vem corporativa
acesso apenas Armazenada nu-

Interno em desenvolvimento
usuários internos vem corporativa
Concluímos nosso modelo básico de mapeamento de dados.

Nossa intenção foi de dar um impulso nesta atividade tão desa-
fiadora que você poderá modificar conforme a realidade de sua
empresa. Existem diversos modelos e sistemas que constroem o
mapeamento de dado, mas lembre-se que este não é, no momen-
to, um documento exigido pela ANPD, mas garanto que servirá
de apoio para o ROPA – Registro de Atividades de Tratamento,
este sim exigido pela LGPD13, que será nosso próximo capítulo.
V. ROPA – Registro de Atividades de Tratamento
1. O que é um ROPA?
A sigla ROPA (Record Of Processing Activities),
significa Registros das Atividades de Tratamento. É o do-
cumento onde será registrado todo o tratamento de dados
pessoais, sua finalidade, os motivos, os embasamentos jurídi-
cos, as medidas de segurança utilizada entre outros critérios.
13
LGPD - Art. 37. O controlador e o operador devem manter registro das
operações de tratamento de dados pessoais que realizarem, especialmen-
te quando baseado no legítimo interesse.
256
2. O que diz a ANPD sobre o ROPA para empresas de pequeno porte?

De acordo com a resolução publicada CD/ANPD Nº 2, DE 27 DE
JANEIRO DE 2022, define:
Do Registro das Atividades de Tratamento
Art. 9º Os agentes de tratamento de pequeno porte podem
cumprir a obrigação de elaboração e manutenção de registro das
operações de tratamento de dados pessoais, constante do art. 37
da LGPD, de forma simplificada.
Parágrafo único. A ANPD fornecerá modelo para o registro sim-
plificado de que trata o caput.
Considerando a enorme influência que a RGPD –

Regulamento Geral de Proteção de Dados – europeu, que
exerce sobre a LGPD, vamos nos apoiar no Art. 3014 da
RGPD como base da construção do registro de atividades.
1. Quais os dados devem ser registrados?
O RGPD define a obrigatoriedade dos registros serem

apresentados com as seguintes informações básicas:
a) O nome e os contatos do responsável pelo tratamento e do encar-
regado da proteção de dados;
b) As finalidades do tratamento dos dados;
c) A descrição das categorias de titulares de dados e das catego-
rias de dados pessoais;
d) Se for aplicável, as transferências de dados pessoais para paí-
ses terceiros ou organizações internacionais, a documentação que
comprove a existência das garantias adequadas;
RGPD – Art. 30 - https://gdpr.algolia.com/pt/gdpr-article-30

14
257
e) Se possível, os prazos previstos para o apagamento das dife-

rentes categorias de dados;
f) Se possível, uma descrição geral das medidas técnicas e orga-
nizativas no domínio da segurança.
Na ausência de regulamentação sobre o registro de trata-
mento na LGPD, buscar apoio de boas práticas de outras entidades
reguladoras, por exemplo; ICO15, CNIL16, AEPD17, entre outras que
são responsáveis pela aplicação do RGPD na Europa, podemos en-
contrar patamar mínimo para o desenvolvimento do ROPA.
A ICO – Autoridade de Proteção de Dados do Reino Unido,
disponibilizou em seu site, modelos de planilhas eletrônicas tanto
para Controlador18 como para o Operador19 (link disponível rodapé)
Vamos demonstrar um ROPA com base no modelo da CNIL:

I Grupo: Descrição do Processamento
Nome da Operação: Gestão Folha de Pagamento
Data de criação: 10/01/2022
Data de atualização: 20/05/2022
II Grupo: Partes Interessadas

Controlador: Empresa ABC
15
ICO - https://ico.org.uk/
16
CNIL - https://www.cnil.fr/professionnel
17
AEPD - https://www.aepd.es/es
18
ICO – Modelo ROPA para Controlador: https://ico.org.uk/media/
for-organisations/documents/2172937/gdpr-documentation-controller-
-template.xlsx
19
ICO – Modelo ROPA para Operador - https://ico.org.uk/media/for-or-
ganisations/documents/2172936/gdpr-documentation-processor-tem-
plate.xlsx
258
Encarregado: Fulano / email@xxxx.xxx

Operador: Empresa XYZ
Encarregado: Beltrano / email@xxxx.xxx
III Grupo: Finalidades de Processamento
Proposito principal: Gestão de Folha de Pagamento
Subfinalidade 1: Cálculo do salário
Subfinalidade 2: Cálculo da Seguridade Social
Subfinalidade 3: Transferência de dados para crédito para Banco
IV Grupo: Categoria dos Dados Pessoais
Categoria dos dados: Colaboradores
Tipo de dados: Nome completo, CPF, matrícula, número registro social.
Informações Financeira: Banco e conta bancária.
Período de Retenção: 5 anos conforme legislação vigente.
V Grupo: Destinatários
Destinatário 1: Departamento de Recursos Humanos
Destinatário 2: Instituição Financeira
Destinatário 3: Governo Federal
VI Grupo: Medidas de Segurança
Medidas de segurança 1: Backup dos dados
Medidas de segurança 2: Controle de acesso (login e senha)
Medidas de segurança 3: Servidores com antivírus e firewal
259
VII Grupo: Transferências

Destino 1: Banco XYZ
Tipo de Garantia: Contrato de Processamento 123/2022
Link: www.xxxxx.xxx.xx/contrato.pdf
Destino 2: Ministério da Economia
Tipo de Garantia: Obrigação legislativa
Link: www.xx.gov/seguridadexxxx
VII Grupo: Base Jurídica

Base Legal 1: Execução de contrato
Base Legal 2: Obrigação Legal
Vejam que o mapeamento de dados faz um raio x do ciclo
de vida dos dados pessoais na empresa, e o ROPA – registro de trata-
mento dos dados, retrata sobre a atividade de processamento. É muito
importante entender essas diferenças entre estes dois documentos.
O proposito de detalhar o Mapeamento de Dados e o
ROPA, é um ponta pé inicial que servirá de apoio. Existem mui-
tas informações de tratamento de dados pessoais na sua empre-
sa que podem e devem ser inseridas nestes documentos, pois o
universo de tratamento dos dados é imenso. Não fique restrito
as informações destes modelos, amplie, detalhe, exemplifique.
Quanto mais informações for registrada, maior será a capacida-
de de identificar as vulnerabilidades em seus processos.
260
VI. REFERÊNCIAS
ICO – Registro de Processamento e Bases Legais. Disponível em:

<https://ico.org.uk/for-organisations/accountability-framework/re-
cords-of-processing-and-lawful-basis/> Acesso em: 27 jul. 2022.
CNIL – Registro de Atividades de Processamento. Disponível em: <https://
www.cnil.fr/en/record-processing-activities> Acesso em: 27 jul. 2022.
JusBrasil - A obrigação de registro das atividades de tratamento de
dados, Bruno Bioni. Disponível em: <https://genjuridico.jusbrasil.
com.br/artigos/749546931/a-obrigacao-de-registro-das-ativida-
des-de-tratamento-de-dados> Acesso em: 27 jul. 2022.
ICO – Modelo ROPA para Controlador. Disponível em: <https://
ico.org.uk/media/for-organisations/documents/2172937/gdpr-do-
cumentation-controller-template.xlsx> Acesso em: 27 jul. 2022.
ICO – Modelo ROPA para Operador. Disponível em: <https://ico.
org.uk/media/for-organisations/documents/2172936/gdpr-docu-
mentation-processor-template.xlsx> Acesso em: 27 jul. 2022.
LGPD – Lei Geral de Proteção de Dados. Disponível em: <http://
www.planalto.gov.br> Acesso em: 27 jul. 2022.
GDPR – RGPD – Regulamento de Proteção de Dados europeu. Dis-
ponível em: <https://eur-lex.europa.eu/> Acesso em: 27 jul. 2022.
261
A RELEVANTE DISTINÇÃO DE DADOS PESSOAIS E

DADOS PESSOAIS SENSÍVEIS
Elaine Keller1
I. INTRODUÇÃO
A Lei Geral de Proteção de Dados, Lei n° 13.709/18,

dispõe no Art. 5º, inciso I, o conceito de dado pessoal e no
inciso II o de dado pessoal sensível, conforme segue:
I - dado pessoal: informação relacionada a pessoa na-
tural identificada ou identificável;
II - dado pessoal sensível: dado pessoal sobre origem
racial ou étnica, convicção religiosa, opinião política, filiação
a sindicato ou a organização de caráter religioso, filosófico ou
político, dado referente à saúde ou à vida sexual, dado gené-
tico ou biométrico, quando vinculado a uma pessoa natural;
Uma vez conceituados, os dados sensíveis são nor-
matizados sobre a legalidade de tratamento no art. 11 da
lei. Para além disso, não há qualquer dispositivo que se de-
dique a normatizar o uso específico desse tipo de dado em
atividades em larga escala como, por exemplo, do poder
público2 ou para transferências internacionais, ficando tal
2
Pelo Guia Poder Público da ANPD, o termo “Poder Público” é defini-
do pela LGPD de forma ampla e inclui órgãos ou entidades dos entes
federativos (União, Estados, Distrito Federal e Municípios) e dos três
Poderes (Executivo, Legislativo e Judiciário), inclusive das Cortes de
Contas e do Ministério Público.3 Assim, os tratamentos de dados pes-
262
incumbência sob responsabilidade da Autoridade Nacional

de Proteção de Dados.
Em razão da carência de um tratamento normativo
mais extenso, a importância de distinguir dados pessoais de
dados pessoais sensíveis não fica tão evidenciado numa aná-
lise superficial do tema.
Assim, com frequência, algumas dúvidas são suscitadas:
Por que teria o legislador criado regras próprias para determina-
dos dados pessoas? Os dados pessoais sensíveis elencados no
Art. 5 º, II da LGPD podem ser considerados um rol taxativo?
Na relação entre controlador e operador, quais os cuidados de-
vem ser resguardados em se tratando de dados sensíveis?
Na tentativa de pontuar a relevância desses dados que
requerem tratamento especial, vamos analisar neste capítulo
o contexto em que se insere a aura dessas informações, seus
impactos e valores resguardados pela lei n° 13.709/18.
São centenas de anos de lutas sociais para garantir a tu-
tela a igualdade e a não discriminação traduzidas em dados sen-
síveis pela LGPD, conforme iremos explorar a partir de agora.
Após discorrer rapidamente pelos principais mar-
cos que ensejaram a tutela da proteção de dados pessoais e
privacidade como direitos fundamentais da pessoa natural,
passaremos a explorar melhor o conceito de dados pes-
soais sensíveis da LGPD.
soais realizados por essas entidades e órgãos públicos devem observar as

disposições da LGPD, ressalvadas as exceções previstas no art. 4º da lei.
Disponível em: <https://www.gov.br/anpd/pt-br/documentos-e-publica-
coes/guia-poder-publico-anpd-versao-final.pdf/view> acessado em 10 de
julho de 2022.
263
II. A REVOLUÇÃO FRANCESA - “LIBERTÉ, IGUA-

LITÉ, FRATERNITÉ”
A Revolução Francesa, iniciada em 17 de junho de

1789, perdurou por 10 anos e marcou o fim da monarquia
e o começo da república baseada em três princípios liberais
que se espalharam pelo mundo inteiro: Liberdade, Igualdade
e Fraternidade.
A França do século XVIII, com aproximadamente
25 milhões de habitantes, era um país agrário que dava seus
primeiros passos rumo a industrialização. A capital Paris era
a cidade mais populosa do planeta e era reconhecida como
“capital intelectual de Europa”. Em meio a muita opressão,
pobreza e fome da classe trabalhadora e descontentamento da
burguesia que mantinha oposição aos altos impostos e ele-
vados custos da nobreza, acontece a tomada da Bastilha e o
afastamento do Rei Luís XVI que marca a maior revolução
popular da história mundial.
Neste contexto, surge a Declaração dos Direitos do
Homem e do Cidadão, fundamentada em ideias iluministas e
considerada o marco para a criação da Constituição francesa,
que estabeleceu todo o alicerce dos direitos fundamentais.
A Declaração reconhece, ao longo de 17 artigos, a
igualdade de todos perante a lei e a justiça. Destaque especial
para alguns desses artigos:
Artigo 1º- Os homens nascem e são livres e iguais em
direitos.
Artigo 4º- A liberdade consiste em poder fazer tudo aqui-
lo que não prejudique outrem: assim, o exercício dos direitos
264
naturais de cada homem não tem por limites senão os que as-
seguram aos outros membros da sociedade o gozo dos mesmos
direitos. Estes limites apenas podem ser determinados pela Lei.
Artigo 6º- A Lei é a expressão da vontade geral. Todos
os cidadãos têm o direito de concorrer, pessoalmente ou atra-
vés dos seus representantes, para a sua formação. Ela deve ser
a mesma para todos, quer se destine a proteger quer a punir.
Todos os cidadãos são iguais a seus olhos, são igualmente ad-
missíveis a todas as dignidades, lugares e empregos públicos,
segundo a sua capacidade, e sem outra distinção que não seja
a das suas virtudes e dos seus talentos.
Artigo 10º- Ninguém pode ser inquietado pelas suas opi-

niões, incluindo opiniões religiosas, contando que a manifesta-
ção delas não perturbe a ordem pública estabelecida pela Lei.
Artigo 11º- A livre comunicação dos pensamentos e
das opiniões é um dos mais preciosos direitos do Homem;
todo o cidadão pode, portanto, falar, escrever, imprimir livre-
mente, respondendo, todavia, pelos abusos desta liberdade
nos termos previstos na Lei.
III. A DECLARAÇÃO UNIVERSAL DA ONU
Passados mais de 150 anos da Revolução Francesa,

logo após o término da Segunda Grande Guerra Mundial,
mais precisamente em 1945, os líderes mundiais criaram a
ONU (Organização Mundial das Nações Unidas) com o ob-
jetivo de promover a paz entre os países.
265
Surge assim, em 1948, a Declaração Universal dos

Direitos Humanos elaborado pela organização que reafirma
os princípios estabelecidos pela Declaração dos Direitos do
Homem e do Cidadão: “Todas as pessoas nascem livres e iguais em
dignidade e em direitos. São dotadas de razão e de consciência e devem
agir em relação umas às outras com espírito de fraternidade”
Assim, segundo BOBBIO3, os direitos passam a não

se restringir apenas a França, mas a serem universais:
“Com a Declaração de 1948, tem início uma terceira e última
fase, na qual a afirmação dos direitos é, ao mesmo tempo, universal e
positiva: universal no sentido de que os destinatários dos princípios nela
contidos não são mais apenas os cidadãos deste ou daquele Estado, mas
todos os homens; positiva no sentido de que põe em movimento um pro-
cesso em cujo final os direitos do homem deverão ser não mais apenas
proclamados ou apenas idealmente reconhecidos, porém efetivamente
protegidos até mesmo contra o próprio Estado que os tenha violado. No
final desse processo, os direitos do cidadão terão se transformado, real-
mente, positivamente, em direitos do homem. Ou. pelo menos, serão os
direitos do cidadão daquela cidade que não tem fronteiras, porque com-
preende toda a humanidade; ou, em outras palavras, serão os direitos do
homem enquanto direitos do cidadão do mundo.”
Portanto, podemos extrair dessas duas passagens his-

tórias que os direitos fundamentais surgem alicerceados na
IGUALDADE entre todos os ser humanos.
Uma sociedade democrática garante a igualdade sem
distinção de etnia, sexo, opiniões políticas ou religiosas,
identidade de gênero ou qualquer outra forma possível de
discriminação
BOBBIO, Norberto. A Era dos DIREITOS. tradução Carlos Nelson

3
Coutinho. Ed. Nova. Rio de Janeiro: Elsevier, 2004.
266
.IV. A CONSTITUIÇÃO FEDERAL BRASILEIRA DE 1988
A Constituição Federal promulgada em 05 de outubro

de 1988 simboliza a transição entre o regime militar da ditadu-
ra e a consolidação da democracia. Para além disso, a assem-
bleia constituinte abriu espaço a toda a sociedade civil de modo
a participar da elaboração do texto constitucional. Assim, fo-
ram ouvidos sindicatos, comunidades indígenas, grupos rurais,
entre outros. Por isso, foi batizada de Constituição Cidadã.
Igualmente, o cenário mundial do pós-guerra, diante
das atrocidades vividas especialmente na Alemanha de Hitler,
abriu caminho para que os países promovessem a primazia da
dignidade da pessoa humana nos textos constitucionais.
A igualdade e a liberdade são valoradas como alicer-
ces fundamentais do Estado Democrático de Direito.
Assim, os axiomas que alicerçam o Estado Democrá-
tico de Direito no Brasil são a dignidade da pessoa humana
(art. 1°, incisos II e III da Constituição Federal) e a cidadania.
Segundo a jurista Flávia Piovesan4, “Vê- se aqui o encontro do
princípio do Estado Democrático de Direito e dos direitos fundamen-
tais, fazendo-se claro que os direitos fundamentais são um elemento
básico para a realização do princípio democrático, tendo em vista que
exercem uma função democratizadora”.
A Constituição Federal de 1988 introduz, pela primeira

vez, os direitos fundamentais como cláusula pétrea, o que evi-
dencia o seu grau de importância. O “Título II”, DOS DIREI-
TOS E GARANTIAS FUNDAMENTAIS, está subdividindo
em cinco capítulos: direitos individuais e coletivos; direitos so-
ciais; nacionalidade; direitos políticos e partidos políticos.
4
PIOVESAN. Flávia. Direitos Humanos e o Direito Constitucional Inter-
nacional. 8a ed. São Paulo: Saraiva, p. 26. 2007.
267
Já o art. 4° cuida dos princípios que regem as relações

internacionais. Destaque especial para o inciso II:
Art. 4º A República Federativa do Brasil rege-se nas suas rela-
ções internacionais pelos seguintes princípios:
II - prevalência dos direitos humanos;
Segundo o Ministro e jurista Gilmar Mendes5, “a Cons-

tituição de 1988 possui um dos mais extensos catálogos de direitos e
garantias fundamentais do mundo.”
Em 08 de dezembro de 2004, foi promulgada a EC

n. 45/2004 acrescentando o parágrafo terceiro ao art. 5° da
Constituição de 1988 com a seguinte redação: “Os tratados e
convenções internacionais sobre direitos humanos que forem
aprovadas, em cada Casa do Congresso Nacional, em dois
turnos, por três quintos dos votos dos respectivos membros,
serão equivalentes às emendas constitucionais”.
Disse o ministro Celso de Mello: “o tratado não res-
tringe nem elimina qualquer direito ou garantia previsto na Constituição
brasileira, ao contrário, deve explicitá-lo ou ampliá-lo. Quando o tratado
é mais protetivo do que o direito interno, a justiça deve optar por ele”. 6
O HOLOCAUSTO
No famoso livro de IBM E O HOLOCAUSTO de

Edwin Black7 relata que uma das primeiras versões de com-
5
<https://www12.senado.leg.br/publicacoes/estudos-legislativos/tipos-
-de-estudos/outras-publicacoes/volume-i-constituicao-de-1988/apresen-
tacao-20-anos-da-constituicao-o-avanco-da-democracia >
6
Extraído do livro CASTILHO, Ricardo. Direitos Humanos. São Paulo:
Saraiva, 2011, pp. 82-83.
7
“IBM and the Holocaust”, lançado mundialmente em junho de 2003,
autor Edwin Black.
268
putadores modernos da fabricante IBM, o Tabulador Holleri-

th, serviu para que Hitler e seus comandados identificassem
judeus por meu de nome, residência, ascendência etc.
Os dados pessoais eram codificados em cartões perfurados.
Pelo apoio da fabricante, o presidente da companhia
foi agraciado com uma medalha por Adolf Hitler.
Thomas Watson, em 1941, quando presidente da
IBM, devolveu a medalha que era desenhada com a águia e a
suástica, símbolo do Nazismo.
Foi, sem sombra de dúvida, a pior história que eu
poderia trazer a essa obra. Tive a oportunidade de visitar o
Museu do Holocausto, em 2019, em Israel - Yad Vashem –
e fiquei estarrecida e deprimida com as cenas chocantes de
massacre aos judeus. Especialmente, as crianças.
Ainda guardo na memória os calçados encontrados nos
campos de concentração. Não tive como conter as lágrimas.
V. LEI GERAL DE PROTEÇÃO DE DADOS
A privacidade guarda correlação com a intimidade, com

a vida privada, com o sigilo, particular, confidencial e secreto.
O surgimento da máquina fotográfica deu origem ao pri-
meiro movimento em prol ao Direito à Privacidade em 1890,
pelos advogados Samuel D. Warren y Louis D. Bradeis, ao pu-
blicar na Havard Law Review o artigo “The Rigth to Privacity”.
De acordo com Warrem e Bradeis,
[...] “os recentes inventos e os novos métodos de fazer negó-
269
cio foram os focos de atenção ao passo que foi necessário dar am-
paro à pessoa e garantir ao indivíduo o que o juiz Cooley denomi-
nou de direito a não ser incomodado. As fotografias instantâneas e
as empresas de jornalismo invadiram os sagrados recintos da vida
privada e no lar; e os inúmeros engenhos e mecanismos ameaçam
em fazer realidade a profecia que reza: “o que se sussurre na inti-
midade será proclamado aos quatro ventos [...]”. A intensidade e a
complexidade da vida, que acompanham os avanços da civilização,
contribuem para o necessário distanciamento do mundo, e o ho-
mem, sob a refinada influência da cultura, se vê mais vulnerável à
publicidade, de modo que a solidão e a intimidade se converteram
em algo essenciais para a pessoa; por isso, os novos modos e inven-
tos, ao invadir a intimidade, produzem no indivíduo um sofrimento
espiritual e uma angústia muito maior que pudera ocasionar os me-
ros danos pessoais.”
A primeira lei de proteção de dados, não por acaso, sur-

giu na Alemanha em 1970. A partir dela, surgem várias diretivas
na Europa sobre o tema até culminar, em 2012 na criação da
GDPR (General Data Protection Regulation). Essa lei entra em
vigor em 2018 e passa a influenciar países do mundo todo para o
estabelecimento de regulamento próprio sobre tal direito.
No Brasil, a primeira vez em que se falou especifica-
mente no direito à privacidade e à intimidade foi na Consti-
tuição de 1988. Antes disso, existiam apenas alguns disposi-
tivos legais que tratavam indiretamente do assunto. O Código
Civil de 1916, por exemplo, fazia referência ao sigilo de cor-
respondência (artigo 671).
Art. 5º Todos são iguais perante a lei, sem distinção de qualquer nature-
za, garantindo-se aos brasileiros e aos estrangeiros residentes no País a inviola-
bilidade do direito à vida, à liberdade, à igualdade, à segurança e à propriedade,
nos termos seguintes:
X - são invioláveis a intimidade, a vida privada, a honra e a ima-

gem das pessoas, assegurado o direito a indenização pelo dano material ou
moral decorrente de sua violação;
270
Outras leis brasileiras também cuidaram do tema

como o Código Penal; o Código de Processo Civil; a Lei nº
4.595/1964, que tratava do Sistema Financeiro Nacional, o
Estatuto da Criança e do Adolescente, o Código de Defesa do
Consumidor e o Marco Civil da Internet e a Lei de Imprensa.
Em 14 de agosto de 2018 foi publicada a Lei Nº 13.709,
que dispõe sobre a proteção de dados pessoais8. Esta lei ficou
conhecida como Lei Geral de Proteção de Dados (LGPD).
Ela passou a vigorar em setembro de 2020 com ex-
ceção apenas das sanções administrativas que entraram em
vigor posteriormente em agosto de 2021.
A LGPD estabelece regras e traz requisitos e obri-
gações para o tratamento de dados pessoais, de modo a fo-
mentar negócios (inclusive com outros países), e, ao mesmo
tempo protegendo os direitos de liberdade e privacidade9 dos
titulares dos dados (indivíduos).
Basicamente, a LGPD apresenta os seguintes requisitos:
- Necessidade de base legal para coleta e tratamento dos dados
- Direito dos indivíduos sobre seus dados
- Restrição à transferência internacional e ao compartilha-
mento de dados
8
[...] “na sociedade atual, caracterizada pelas relações remotas, os dados pes-
soais acabam por se constituir na única forma de representação das pessoas
perante as mais diversas organizações estatais e privadas, sendo determinan-
tes para abrir ou fechar as portas de oportunidades e acessos.”
DONEDA, Danilo Cesar Maganhoto; MENDES, Laura Schertel; SOUZA,
Carlos Affonso Pereira de; ANDRADE, Norberto Nuno Gomes de. Conside-
rações iniciais sobre inteligência artificial, ética e autonomia pessoal. Pensar
– Revista de Ciências Jurídicas (Fortaleza-CE), V. 23, n.4,out-dez 2018, pág 4.
9
Assim assevera Charles Fried:Privacy 1968: “A privacidade não é apenas
a ausência de informações sobre nós mesmos na mente dos outros; é, sobre-
tudo, o controle que temos sobre a informação a respeito de nós mesmos.”
271
- Designação dos agentes de tratamento de dados

- Adoção de medidas de segurança, técnicas e administrativas
para proteção dos dados
- Implementação de um modelo de governança para privaci-
dade dos dados
VI. EMENDA CONSTITUCIONAL 115/22
Em fevereiro de 2022, o Brasil avança mais um passo

em direção a tutela dos dados pessoas com a promulgação da
EC 115/2 que adicionou o inciso LXXIX ao artigo 5º, CF,
dispondo que «é assegurado, nos termos da lei, o direito à
proteção dos dados pessoais, inclusive nos meios digitais».
VII. A IMPORÂNCIA DA CLASSIFICAÇÃO DE

DADOS SENSÍVEIS
O Art. 5º, inciso II da Lei conceitua que dados sensí-

veis são dados pessoais sobre origem racial ou étnica, con-
vicção religiosa, opinião política, filiação a sindicato ou a
organização de caráter religioso, filosófico ou político, dado
referente à saúde ou à vida sexual, dado genético ou biomé-
trico, quando vinculado a uma pessoa natural.
Alguns juristas consideram que o inciso estabelece
um rol taxativo de classificação dos dados sensíveis sobre
os quais recaem maior zelo. Entretanto, iremos propor uma
interpretação mais abrangente, equiparando outras classifica-
ções no mesmo grau de valoração.
272
Fazendo uma leitura cuidadosa podemos perceber que

o legislador tratou de forma diferenciada todos os dados que,
uma vez tratado violados terão como resultado a discrimina-
ção do titular de dados. Portanto, nessa esteira, poderíamos
dizer que estariam enquadrados como dados sensíveis, todas
as informações que infrinjam o Princípio da não discrimi-
nação convencionado no Art. 6º, inciso IX da norma: “não
discriminação: impossibilidade de realização do tratamento
para fins discriminatórios ilícitos ou abusivos.”
Portanto, outras classificações de dados poderiam se
equiparar a qualidade de sensíveis. Por exemplo, se o titular
dos dados é fumante ou não fumante.
Em uma entrevista de emprego, se o departamento de
Recursos Humanos solicita a coleta dessa informação pode
caracterizar uma discriminação ao candidato que seja fuman-
te. O fato de fumar cigarros não lhe tira a capacidade e habi-
lidade técnica para cumprir suas tarefas.
Não iremos adentrar nas discussões ligadas ao Fumo
na espera do Direito do Trabalho. Aqui, o foco é tão somente
em relação ao tratamento do dado “fumante” ou “não-fuman-
te” como forma de escolha do candidato na admissão para
uma vaga de emprego.
As empresas podem e devem criar políticas internas
de conscientização dos riscos à saúde do tabagismo e proibir
o uso em ambiente de trabalho, porém não podem excluir um
fumante ou levar essa informação em consideração no ato da
contratação por violar o princípio da não discriminação da
Lei Geral de Proteção de Dados.
Para além disso, também não está expresso no rol do
Art. 5º, inciso II a igualdade de gênero. Considerar classifica-
273
do dentro de “vida sexual” é uma interpretação superficial e

desmerece toda a luta das mulheres e da comunidade LGBT-
QI+ por direitos iguais.
Para a socióloga Oakley (1972), em seu livro “Sex,
Gender and Society”10, o sexo nada mais é, que um termo bio-
lógico utilizado para designar o que é homem ou mulher, assim,
o sexo está diretamente ligado a características físicas, como
genitália externa e interna, gônadas, hormônios, cromossomos
etc. Já o conceito de gênero é dotado de múltiplas facetas, pois
não visa unicamente as diferenças físicas/biológicas, mas fala-
se também em aspectos psicológicos e culturais.
Isto posto, o legislador cuidou de tutelar como dados
pessoais sensíveis a classificação de raça e etnia, logo, tam-
bém deveria ter constado a classificação de identidade de gê-
nero uma vez que não se trata mais de uma simples distinção
entre masculino e feminino ou, em outras palavras, da binari-
dade homem e mulher.
Consta como dado sensível a vida sexual da pessoa
humana. Oras, a identidade de gênero não se resume a es-
colha sexual. Tem relação com a imagem, aparência que a
pessoa projeta de si e independe da genitália ou de atrações
sexuais por terceiros.
“Ao contrário do que muitos pensam, o gênero não está somente
relacionado à anatomia dos órgãos genitais. A autoimagem da pessoa é o
fator que mais se sobressai já que ela se define conforme a sua percepção
de si mesma.
Além de envolver a maneira como a pessoa se enxerga no mundo,

engloba também o modo de expressão, como as roupas e a aparência”.11
10
OAKLEY,Ann. Sex, Gender and Society. Reino Unido: Routlegde; 1ª
edição, 2015.
11
Tatiana PimentaCEO e Fundadora da Vittude. Cursou The Science of
Happiness pela University of California, Berkeley.
274
Por todo exposto, sugerimos que toda a classificação

de dados pessoais que, ao ser tratado possam gerar danos de
discriminação, sejam equiparados a dados sensíveis.
A não discriminação guarda equivalência direta ao di-
reito de IGUALDADE defendido desde a Revolução Francesa.
VII. O TRATAMENTO DE DADOS SENSÍVEIS
O Art. 11 da Lei 13.709/18 estabelece as bases legais

que permitem o tratamento de dados sensíveis em consonân-
cia aos princípios da finalidade e necessidade, ressaltando
que o consentimento do titular prepondera sobre os demais.
Art. 11. O tratamento de dados pessoais sensíveis so-

mente poderá ocorrer nas seguintes hipóteses:
I - quando o titular ou seu responsável legal consentir,

de forma específica e destacada, para finalidades específicas;
II - sem fornecimento de consentimento do titular, nas

hipóteses em que for indispensável para:
a) cumprimento de obrigação legal ou regulatória

pelo controlador;
b) tratamento compartilhado de dados necessários à

execução, pela administração pública, de políticas públicas
previstas em leis ou regulamentos;
c) realização de estudos por órgão de pesquisa, ga-

rantida, sempre que possível, a anonimização dos dados pes-
soais sensíveis;
275
d) exercício regular de direitos, inclusive em contrato

e em processo judicial, administrativo e arbitral;
e) proteção da vida ou da incolumidade física do titu-
lar ou de terceiros;
f) tutela da saúde, exclusivamente, em procedimento

realizado por profissionais de saúde, serviços de saúde ou
autoridade sanitária; ou
g) garantia da prevenção à fraude e à segurança

do titular, nos processos de identificação e autenticação de
cadastro em sistemas eletrônicos, resguardados os direitos
mencionados no art. 9º desta Lei e exceto no caso de pre-
valecerem direitos e liberdades fundamentais do titular que
exijam a proteção dos dados pessoais.
O tratamento dos dados sensíveis requer atenção ao

art. 11 da norma uma vez que restringe as possibilidade de
uso em comparação ao Art. 7° que cuida das bases legais para
dados pessoais em geral.
Não é permitido, por exemplo, o tratamento de dados

sensíveis baseado no legítimo interesse do controlador.
Baseado nessa premissa, preconizamos que no caso

trazido nessa artigo de uso dos dados “Fumante” ou Não-
-Fumante” para admissão de um candidato a uma vaga de
emprego, não seja enquadrado como tratamento baseado no
legítimo interesse do controlador porque, em tese, essa clas-
sificação poderia ser equiparada a dados sensíveis.
Aliás, a recomendação é simplesmente não adotar a
coleta desse tipo de informação por violar o princípio da não
discriminação.
276
VIII. DO COMPARTILHAMENTO DE DADOS

SENSÍVEIS
Sobre o compartilhamento de dados sensíveis, a LGPD é ta-

xativa no Art. 11, § 4º quanto as informações relativas à saú-
de: “É vedada a comunicação ou o uso compartilhado entre
controladores de dados pessoais sensíveis referentes à saúde
com objetivo de obter vantagem econômica.”
Entretanto para os demais dados sensíveis a lei ape-
nas assenta no Art. 11, § 3º que: “A comunicação ou o uso
compartilhado de dados pessoais sensíveis entre controla-
dores com objetivo de obter vantagem econômica poderá
ser objeto de vedação ou de regulamentação por parte da
autoridade nacional, ouvidos os órgãos setoriais do Poder
Público, no âmbito de suas competências.”
No Guia do Poder Público publicado pela ANPD,
orienta-se para que “o uso compartilhado de dados pessoais pelo Po-
der Público deva ser formalizado, seja em atenção às normas gerais que
regem os procedimentos administrativos, seja em atenção à obrigatorie-
dade de registro das operações de tratamento, conforme disposto no art.
37 da LGPD. Para tanto, recomenda-se a instauração de processo admi-
nistrativo, do qual constem os documentos e as informações pertinentes,
incluindo análise técnica e jurídica, conforme o caso, que exponham a
motivação para a realização do compartilhamento e a sua aderência à
legislação em vigor.
Além disso, recomenda-se que o compartilhamento seja estabe-

lecido em ato formal, a exemplo de contratos, convênios ou instrumentos
congêneres firmados entre as partes. Outra possibilidade é a expedição
de decisão administrativa pela autoridade competente, que autorize o
acesso aos dados e estabeleça os requisitos definidos como condição
para o compartilhamento.”12
<https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/guia-poder-
12
-publico-anpd-versao-final.pdf/view> acessado em 1o de julho de 2022.
277
Quanto a transferência e compartilhamento entre

controladores e operadores é possível desde que observadas
regras rigorosas de segurança de informação. Nestes casos,
é sempre prudente a elaboração de um relatório de impacto
como forma de garantir a boa governança da atividade.
IX. REFERÊNCIA
ANPD. Guia Poder Público. Versão digital: <https://www.

gov.br/anpd/pt-br/documentos-e-publicacoes/guia-poder-pu-
blico-anpd-versao-final.pdf/view>
BOBBIO, Norberto. A Era dos DIREITOS. tradução Carlos
Nelson Coutinho. Ed. Nova. Rio de Janeiro: Elsevier, 2004
BRASIL. Constituição (1988). Constituição da República
Federativa do Brasil.
BRASIL. Lei 13.709/18. Lei Geral de Proteção de Dados
CASTILHO, Ricardo. Direitos Humanos. São Paulo: Saraiva, 2011.
DONEDA, Danilo Cesar Maganhoto; MENDES, Laura Scher-
tel; SOUZA, Carlos Affonso Pereira de; ANDRADE, Norber-
to Nuno Gomes de. Considerações iniciais sobre inteligência
artificial, ética e autonomia pessoal. Ed. Pensar – Revista de
Ciências Jurídicas (Fortaleza-CE), V. 23, n.4,out-dez 2018.
OAKLEY, Ann. Sex, Gender and Society. Reino Unido:
Routlegde; 1ª edição, 2015.
PIOVESAN, Flávia. Direitos Humanos e o Direito Constitu-
cional Internacional. Ed. Saraiva, 20ª edição, São Paulo, 2007
278
A BASE LEGAL DE EXECUÇÃO DE POLÍTICAS

PÚBLICAS POR ORGANIZAÇÕES SOCIAIS (OS) E
ORGANIZAÇÕES DA SOCIEDADE CIVIL (OSCIP)
Fabiani Oliveira Borges da Silva 1
I. INTRODUÇÃO
A Lei 13.709, de 14 de agosto de 2018, usualmen-

te conhecida como LGPD – Lei Geral de Proteção de Dados
constitui o marco legislativo que disciplina o tratamento de da-
dos pessoais, em meios físicos ou digitais, das pessoas naturais.
Não há dúvida, porque já no seu artigo primeiro a
Lei é de uma clareza solar, que as regras ali determinadas se
aplicam tanto à pessoa jurídica de direito público e de direito
privado. Entretanto, quando se avança pelo normativo, as dife-
rentes formas de como o legislador se refere ao poder público
faz surgir os primeiros questionamentos. Como bem mencio-
na Fabricio da Mota Alves2, “não podemos nos furtar de analisar o
número elevado de nomenclaturas adotadas pela LGPD sempre que re-
ferenciando o poder público.”, e de como “(...) essa pluralidade em nada
contribui para a devida compreensão da lei. Pelo contrário, colabora para
uma dificultosa aplicabilidade, uma vez que boa parte de suas disposições,
quando se analisar a responsabilidade do agente de tratamento do poder
público, poderá trazer certos obstáculos para o poder fiscalizatório.”
1
Advogada, sócia no Espinheira, Borges & Quadros Advogados, Consulto-
ra do Banco Interamericano de Desenvolvimento (BID) e da Rede Nacional
de Pesquisa (RNP), Professora CIPM | CDPO/BR | EXIN PDPE, Especia-
lista em Direito Processual Civil, Direito Eletrônico e Compliance.
2
MOTA ALVES, Fabrício. Desafios da Adequação do Poder Público à
LGPD. In. PALHARES, Felipe. Temas Atuais de Proteção de Dados. São
Paulo: Thomson Reuters/RT, 2020, p. 174/178.
279
Inicialmente recordam-se os arts. 2° e 37 da Constituição

Federal que esclarecem o formato tripartite dos Poder do Estado, e
como a Administração Pública deve ser exercida direta ou indire-
tamente nas esferas dos poderes, sob os princípios da legalidade,
impessoalidade, moralidade, publicidade e eficiência.
Hely Lopes Meirelles3 definiu a Administração como
“todo o aparelhamento do Estado preordenado à realização
de serviços, visando à satisfação das necessidades coletivas.
A Administração não pratica atos de governo; praticam, tão-
somente, atos de execução, com maior ou menor autonomia
funcional, segundo a competência do órgão e seus agentes”.
E a Câmara dos Deputados4 resume poder público como
“Conjunto dos órgãos por meio dos quais o Estado e outras
pessoas públicas exercem suas funções específicas. O poder do
Estado, pelo qual ele mantém a própria soberania. O governo.”
É nesse espaço de definições e conceitos que se precisa
compreender a atuação das organizações sociais (OS) e das
organizações da sociedade civil (OSCIPS), que, embora sejam
constituídas sob a égide do art. 44 do Código Civil, realizam, na
prática, atividades da Administração Pública indiretamente.
Frutos da reforma da Administração Pública, iniciada
nos anos 90, que trazia a ideia da instauração de um modelo
gerencial, envolvendo maior discricionariedade para as autori-
dades administrativas, com a troca de um controle formal por
controles de resultados, maior autonomia financeira, orçamen-
3
MEIRELLES, Hely Lopes. Direito Administrativo Brasileiro. 36. Ed.
São Paulo: Malheiros Editores, 2010, p. 66.
4
Disponível em: https://www2.camara.leg.br/a-camara/estruturaadm/
gestao-na-camara-dos-deputados/responsabilidade-social-e-ambiental/
acessibilidade/glossarios/dicionario-de-libras/p/poder-publico#:~:text=-
Conjunto%20dos%20%C3%B3rg%C3%A3os%20por%20meio,O%20
governo. Acesso em: 02 jul. 2022.
280
tária e administrativa, através de contratos de gestão, as OS

e OSCIPs são uma parte desses objetivos, que foram sendo
concretizados pela via de emendas à Constituição e normas in-
fraconstitucionais. Consideradas por Maria Sylvia Zanella di
Pietro5 como Entidades Paraestatais e Terceiro Setor, na reali-
dade, “todas essas entidades poderiam ser incluídas no concei-
to de serviços sociais autônomos” e atuam ao lado do Estado
por terem com aquele algum tipo de vínculo jurídico.
Aqui interessam particularmente a Lei 9.790, de 23
de março de 1999, que dispôs sobre a qualificação de pessoas
jurídicas de direito privado, sem fins lucrativos, como Orga-
nizações da Sociedade Civil de Interesse Público (OSCIP) e
a Lei 9.637, de 15 de maio de 1998, que determina a qualifi-
cação de entidades como organizações sociais (OS).
Isto porque a pergunta a que se pretende responder
neste artigo é: podem estes dois tipos de pessoas jurídicas,
de direito privado, valerem-se da base legal de execução
de políticas públicas pela administração pública, previstos
nos arts.7°, III e 11, II, “b” da Lei 13.13709/2018 (LGPD)?
É sobre essa indagação que se debruça a escrita a seguir.
II. AS MÚLTIPLAS ATIVIDADES DESTES ATORES
[Ainda sobre o tema, Maria Sylvia Zanella de Pietro6 de-

fine as entidades paraestatais, como pessoas jurídicas de direito
privado que colaboram com as atividades do Estado, com quem se
5
DI PIETRO, Maria Sylvia Zanella. Direito Administrativo. São Paulo:
Forense, 2017, p. 678/679.
6
DI PIETRO, Maria Sylvia Zanella. Direito Administrativo. São Paulo:
Forense, 2017, p. 678/679.
281
relacionam de modo a desempenhar atividades sem finalidade de

lucro às quais o Poder Público fornece especial proteção:
Exatamente por atuarem ao lado do Estado e terem com ele

algum tipo de vínculo jurídico, recebem a denominação de en-
tidades paraestatais; nessa expressão podem ser incluídas todas
as entidades integrantes do chamado terceiro setor que tenham
vínculo com o poder público, o que abrange as declaradas de
utilidade pública, as que recebem certificado de fins filantrópi-
cos, os serviços sociais autônomos (como Sesi, Sesc, Senai e
outras entidades do chamado sistema S), os entes de apoio, as
Organizações Sociais, as Organizações da Sociedade Civil de
Interesse Público e as Organizações da Sociedade Civil. (...)
É preciso fazer aqui uma observação quanto às chamadas
Organizações Sociais, disciplinadas, na esfera federal, pela
Lei n° 9.637, de 15-5-98. Embora enquadradas, em regra,
como entidades de colaboração que integram o terceiro
setor, na realidade elas apresentam uma peculiaridade
em relação às demais entidades: elas, como regra geral,
prestam serviço público por delegação do Poder Público.
Há características comuns e individuais que ajudam

na diferenciação entre essas entidades paraestatais:
Organizações da Sociedade Civil
Organizações Sociais (OS)
(OSCIP)
Via de regra não são criadas pelo Es-
Sua qualificação como tal é de tado – a exceção de algumas delas
iniciativa do Poder Pública serem autorizadas por lei (a exemplo
o sistema S – Sesi, Senai, Senac)
Prestam serviço público, por
delegação do Poder Público, Não exercem serviço público delega-
como regra geral. do pelo Estado, mas atividade priva-
da de interesse público.
São mantidas com recursos pú- Recebem incentivos do Poder Públi-

blicos, mesmo sendo constituí- co (desde a outorga do título de uti-
das como entidade privada. lidade pública à auxílio do Estado).
282
O vínculo jurídico com o Estado é

Se vinculam ao Estado através
feito através de convênio, termo de
de contrato de gestão, que é alvo
parceria ou contrato de gestão, e nes-
de fiscalização do Tribunal de
tes casos sofrem fiscalização do Tri-
Contas.
bunal de Contas.
Regime jurídico de direito pri-
Regime jurídico de direito privado
vado, cuja atividade é serviço
parcialmente derrogado por direito
público social de titularidade do
público, decorrente do vínculo man-
Estado transferido mediante de-
tido com o Poder Público.
legação pelo contrato de gestão.
Celso Antônio Bandeira de Mello7 afirma que as

Organizações Sociais “não são pessoas da Administração Indireta,
pois como além se esclarece, são organizações particulares alheias
à estrutura governamental, mas com as quais o Poder Público (que
as concebeu normativamente) se dispõe a manter “parcerias” com a
finalidade de desenvolver atividades valiosas para a coletividade e que
são livres à atuação da iniciativa privada, conquanto algumas delas,
quando exercidas pelo Estado, se constituam em serviços públicos.”
Em síntese, uma realiza atividade privada de interesse so-

cial (OSCIP) e a outra realiza serviço público por delegação (OS).
Mas em ambos os casos exercem tarefas relevantes na sociedade,
desde ensino, pesquisa e extensão, passando por serviços de tecno-
logia e inovação, além de educação, saúde e assistência social.
Dentro das suas competências respectivas, as OS
e OSCIPs, enquanto agentes de tratamento de dados, prima
facie, pela própria natureza jurídica de direito privado, não
remanescem dúvidas que elas deverão seguir as bases legais
previstas no art. 7° e 11 da LGPD aplicáveis às pessoas jurí-
dicas de direito público. Mas seria possível pensar em essas
pessoas jurídicas de direito privado se valerem da base legal
Bandeira de Mello, Celso Antônio. Curso de direito administrativo,

7
Malheiros Editores, 26ª ed., 2008, p.222.
283
de execução de políticas públicas, inseridas no inciso III do

art. 7°, e II, alínea “b”, do art .11? E como e quando seria
isso possível?
III. A INTERPRETAÇÃO DOS ARTS. 7° E 11 CON-

JUNTA E ANALÓGICA AOS ARTS. 23 e 24 DA LGPD.
As respostas às perguntas anteriores passam, neces-

sariamente, pela interpretação conjunta e análoga ao que dis-
põe o art. 24, caput e parágrafo único, da LGPD, qual seja:
As empresas públicas e as sociedades de economia mista que atuam
em regime de concorrência, sujeitas ao disposto no art. 173 da Cons-
tituição Federal, terão o mesmo tratamento dispensado às pessoas
jurídicas de direito privado particulares, nos termos desta Lei.
Parágrafo único. As empresas públicas e as sociedades

de economia mista, quando estiverem operacionalizan-
do políticas públicas e no âmbito da execução delas, te-
rão o mesmo tratamento dispensado aos órgãos e às en-
tidades do Poder Público, nos termos deste Capítulo.
Com efeito, ao estabelecer um regime diferenciado

de tratamento de dados para empresas públicas e sociedades
de economia mista, que nada mais são senão pessoas jurídi-
cas de direito privado que compõem a administração pública
indireta, o legislador expressamente indicou o requisito para
que estas sejam tratadas como entes públicos: estarem ope-
racionalizando políticas públicas e no âmbito da execução
delas. Sobre o regime diferenciado Alexandre Levin8 afirma:
8
LEVIN, Alexandre. Tratamento de dados pessoais pelo Poder Público
– particularidades previstas na LGPD (Lei 13.709/2018). In DAL POZ-
ZO; Augusto Neves; MARTINS, Ricardo Marcondes. LGPD & Adminis-
tração Pública: Uma Análise Ampla dos Impactos. São Paulo: Thomson
Reuters/RT, 2020, p. 235/236.
284
A LGPD, por sua vez, estabelece regimes diversos de trata-

mento de dados: pessoas jurídicas de direito público devem
seguir as regras previstas no art. 23, enquanto pessoas jurídi-
cas de direito privado (empresas públicas e sociedades de eco-
nomia mistas) que atuam em regime de concorrência, terão o
mesmo tratamento dispensado às pessoas jurídicas de direito
privado particulares (art. 24).
A justificativa para o tratamento diferenciado está no fato de

que se as empresas estatais que exercem atividade econômica
competem com empresas privadas e, portanto, devem seguir as
mesmas regras a elas aplicáveis, sob pena de saírem em des-
vantagem na briga por mercado.
O art. 173 da Constituição Federal, ao qual o art. 24 da LGPD

faz referência, prevê um regime jurídico específico para as em-
presas estatais que explorem atividade econômica de produção
ou comercialização de bens ou de prestação de serviços, que
deve ser diverso daquele aplicável a autarquias e a empresas
estatais que prestam serviços públicos.
Portanto, andou bem a LGPD ao diferenciar o regime aplicável

a empresas estatais que exercem atividade econômica daquele
aplicável às autarquias.
Há, no entanto, uma ressalva feita pela própria Lei 13.709/2018:

as estatais que operacionalizem políticas públicas devem seguir
as mesmas regras sobre o tratamento de dados aplicáveis às pes-
soas jurídicas de direito público (art. 24, parágrafo único).
Isso demonstra que, na verdade, o fator de diferenciação entre

os regimes não é a espécies de entidade – empresa estatal ou
entidade autárquica –, mas sim a atividade exercida – atividade
econômica ou serviço público.
Assim, a entidade da administração, de direito público ou pri-

vado, que presta serviço público ou, como quer a lei, “opera-
cionaliza políticas públicas” segue, em matéria de tratamentos
de dados, as mesas regras aplicáveis às autarquias e aos órgãos
da Administração Direta. (Capítulo IV da LGPD).
285
Para Miriam Wimmer9, de fato, o art. 23 da LGPD

constitui verdadeira hipótese complementar para as ativida-
des de tratamento de dados pelo Poder Público, cujos requi-
sitos são a execução de políticas públicas ou a execução de
atribuições inerentes ao serviço público:
A LGPD traz diferentes bases legais voltadas especificamente
para o tratamento de dados pessoais pelo Poder Público.
O art. 7°, III, fundamenta a possibilidade de “tratamento e uso

compartilhado” de dados necessários à execução de políticas
públicas, desde que previstas em leis e regulamentos ou res-
paldadas em contratos, convênios ou instrumentos congêne-
res. De forma análoga, o art. 11, II, “b”, permite o “tratamento
compartilhado” de dados sensíveis necessários à execução de
políticas públicas, mas restringe tais políticas àquelas previstas
em leis ou regulamentos, excluindo, assim, aquelas respalda-
das em outros instrumentos infralegais ou contratuais. Por fim,
o art. 33, VII, prevê a possibilidade de transferência internacio-
nal de dados pessoais em diferentes hipóteses, inclusive quan-
do tal transferência for necessária para a execução de política
pública ou atribuição legal do serviço público.
A esse respeito dois pontos devem ser destacados.
Em primeiro lugar, é necessário chamar a atenção para a con-

fusão terminológica do legislador quanto ao uso da expressão
“tratamento compartilhado” no art. 11 da LGPD. Com efeito, a
partir da leitura da lei, é possível compreender que o “uso com-
partilhado de dados” previsto no art. 5°, XVI é uma modalida-
de de “tratamento” de dados, conforme definição do art. 5°, X.
Não faria sentido imaginar que a legislação tivesse pretendido
limitar o tratamento de dados sensíveis pelo Poder Público à
hipótese de uso compartilhado. Uma interpretação sistemática
dos artigos em questão conduz, portanto, ao entendimento de
9
WIMMER, Miriam. O Regime Jurídico do Tratamento de Dados Pes-
soais pelo Poder Público. In: MENDES, Laura Schertel et al (coord.).
Tratado de Proteção de Dados. Rio de Janeiro: Forense, 2021.
286
que o art. 11 se refere tanto ao tratamento de dados quanto ao

uso compartilhado de dados sensíveis pelo Poder Público.
Uma segunda questão a ser avaliada refere-se ao fato de que
o Estado desempenha sum rol de atividades de tratamento de
dados que nem sempre podem ser compreendidos como polí-
ticas públicas. Atividades relacionadas ao pagamento de salá-
rios e gestão dos servidores públicos, por exemplo, são clara-
mente necessárias ao funcionamento da máquina estatal, mas
dificilmente classificáveis como políticas publicas. Também
atividades de fiscalização e sancionamento poderiam ser com-
preendidas como execução de políticas públicas apenas numa
compreensão bastante dilata do termo.
O deslinde dessa questão se dá pela leitura do art. 23 da LGPD,

que estabelece uma hipótese complementar para o tratamento de
dados pelo Poder Público ao acrescentar às previsões do art. 7° e
11 o objetivo de “executar as competências legais ou cumprir as
atribuições legais do serviço público”. Compreende-se, assim,
que, no que tange às bases legais específicas para o tratamento
de dados pessoais pelo Poder Público, a LGPD prevê duas hipó-
teses centrais: (i) execução de políticas públicas; e (ii) execuções
de competências legais ou atribuições legais do serviço público.
O Guia Orientativo da Autoridade Nacional de Pro-

teção de Dados (ANPD) sobre o Tratamento de Dados pelo
Poder Público, por sua vez, embora não mencione os entes
paraestatais expressamente, permite algumas inferências:
8. O termo “Poder Público” é definido pela LGPD de forma

ampla e inclui órgãos ou entidades dos entes federativos
(União, Estados, Distrito Federal e Municípios) e dos três
Poderes (Executivo, Legislativo e Judiciário), inclusive
das Cortes de Contas e do Ministério Público. Assim, os
tratamentos de dados pessoais realizados por essas entidades
e órgãos públicos devem observar as disposições da LGPD,
ressalvadas as exceções previstas no art. 4° da Lei
287
9. Também se incluem no conceito de Poder Público: (i) os

serviços notariais e de registro (art. 23, § 4°); e (ii) as empresas
públicas e as sociedades de economia mista (art. 24), neste
último caso, desde que (ii.i.) não estejam atuando em regime
de concorrência; ou (ii.ii) operacionalizem políticas públicas,
no âmbito da execução destas.
(...)
35. O conceito de “administração pública” deve ser delimitado a

partir da definição de Poder Público, conforme já exposta neste Guia.
Assim, abrange tanto órgãos e entidades do Poder Executivo quanto
dos Poderes Legislativo e Judiciário, inclusive das Cortes de Contas e
do Ministério Público, desde que estejam atuando no exercício de
funções administrativas.
36. De fato, embora a função administrativa seja típica do Poder

Executivo, órgãos dos demais Poderes também a exercem em
determinadas circunstâncias. Ou seja, ao lado de suas funções
típicas, tais como as de legislar e aplicar a lei, órgãos dos
Poderes Legislativo e Judiciário também exercem atividades
administrativas. É o que ocorre, por exemplo, quando são
firmados convênios ou acordos de cooperação técnica com
outros órgãos públicos ou entidades sem fins lucrativos visando
ao atendimento de alguma finalidade pública.
Ora, se o art. 236 da Constituição Federal define

que “Os serviços notariais e de registro são exercidos em caráter
privado, por delegação do Poder Público”; se estes (notariais)
se incluem no conceito de Administração Pública, con-
forme o Guia da ANPD, e o referido orientativo afirma
que se “quando são firmados convênios ou acordos de cooperação
técnica com outros órgãos públicos ou entidades sem fins lucrativos
visando ao atendimento de alguma finalidade pública.” há função
administrativa, parece lógico deduzir a resposta positiva a indagação
do presente artigo.
288
Considerando os contratos de gestão das OS, ou

mesmo os instrumentos jurídicos que vinculam as OSCIPS,
como convênios e parcerias, com o Estado, é possível que
algumas atividades de tratamento de dados específicas dentro
das competências daqueles entes paraestatais, de fato, se en-
quadrem na base legal de execução de políticas públicas do
art. 7°, III, e do art. 11, II, “b” da LGPD.
Dentro da máxima popular do quem pode mais, pode
menos, não seria crível imaginar que os entes paraestatais pos-
sam ser fiscalizados por Tribunais de Contas ou mesmo ter seus
gestores alvo de ações de improbidade administrativa, mas não
possam enquadrar parte de suas atividades de tratamento de da-
dos na base legal de execução de políticas públicas, quer porque,
de fato, contratualmente as estejam aplicando, quer porque este-
jam realizando atividades vinculadas ao serviço público.
No dia a dia, obviamente, das atividades de tra-
tamento de dados destes entes irá requerer uma necessária
análise concreta do contexto e finalidade de cada uma delas,
especialmente dos instrumentos jurídicos vinculativos com o
Estado, para ser possível a aplicação da base legal de execu-
ção de políticas públicas.
A título ilustrativo, o gráfico utilizado por Felipe
Palhares, Luís Fernando Prado e Paulo Vidigal10 ajudará na
validação da base legal de tratamento aplicável a cada ati-
vidade, sendo certo que, no caso dos tratamentos de dados
das OS e OSCIPS, estes irão demandar, ainda, como dito, a
PALHARES, Felipe; PRADO, Luís Fernando; VIDIGAL, Paulo. Com-

10
pliance Digital e LGPD. In. NOHARA, Irene Patrícia Diom; ALMEIDA,

Luiz Eduado (coord.). Coleção Compliance, V volume. São Paulo: Thom-
son Reuters/RT, 2021.
289
análise conjunta do respectivo contrato de gestão, termo de

parceria e/ou convênio estabelecido, a fim de se observar o
“ao atendimento de alguma finalidade pública.”
IV. CONCLUSÃO
Oriunda das atividades profissionais, a curiosidade so-

bre o tema se aprofundou com a convivência, ao longo dos
últimos três anos, quase diária com rotinas de uma organiza-
ção social ligada à área de educação, pesquisa e tecnologia,
fez surgir a curiosidade sobre o tema.
O trabalho destas entidades, que por vezes passa
desconhecido pelo grande público, é de uma ordem de
grandeza impactante, especialmente nas áreas ensino,
pesquisa e inovação, permitindo, muitas vezes, um al-
cance nacional às pessoas e populações mais remotas e
destas ao conhecimento, de uma forma (e em prazo) que
os entraves burocráticos da administração pública, direta
e indireta não permitiriam.
Não se trata, por óbvio, de se permitir um enquadra-
mento genérico da atividade de tratamento de dados à base
legal de execução de políticas públicas apenas por existir
vínculo contratual com o poder público. Ao reverso, é a
natureza, finalidade e objeto dos instrumentos contratuais
firmados com os entes paraestatais que delimitará as ativi-
dades que poderão ser justificadas de acordo com os arts. 7°,
III e 11, II, “b” da LGPD.
290
291
V. REFERÊNCIAS
BRASIL. Guia Orientativo: Tratamento de Dados Pessoais

Pelo Poder Público. Autoridade Nacional de Proteção de Da-
dos. versão 1.0, jan.2022. Disponível em: https://www.gov.
br/anpd/pt-br/documentos-e-publicacoes/guia-poder-publi-
co-anpd-versao-final.pdf. Acesso em: 02 julho. 2022.
BRASIL. Constituição da República Federativa do Brasil de
1988. Disponível em < http://www.planalto.gov.br/ccivil_03/
constituicao/constituicao.htm.> Acesso em: 07 jul. 2022
BRASIL. Decreto-Lei n° 200, de 25 de fevereiro de 1967. Dis-
põe sobre a organização da Administração Federal, estabelece
diretrizes para a Reforma Administrativa e dá outras providên-
cias. Disponível em <http://www.planalto.gov.br/ccivil_03/
Decreto-Lei/Del0200.htm#art5ii.> Acesso em: 10 jul. 2022.
BRASIL. Lei n° 9.637, de 15 de maio de 1998. Dispõe so-
bre a qualificação de entidades como organizações sociais,
a criação do Programa Nacional de Publicização, a extinção
dos órgãos e entidades que menciona e a absorção de suas
atividades por organizações sociais, e dá outras providências.
Disponível em < http://www.planalto.gov.br/ccivil_03/leis/
l9637.htm.> Acesso em: 02 jul. 2022.
BRASIL. Lei n° 9.790, de 23 de março de 1999. Dispõe sobre
a qualificação de pessoas jurídicas de direito privado, sem
fins lucrativos, como Organizações da Sociedade Civil de In-
teresse Público, institui e disciplina o Termo de Parceria, e
dá outras providências. Disponível em <http://www.planal-
to.gov.br/ccivil_03/leis/l9790.htm#:~:text=LEI%20No%20
9.790%2C%20DE%2023%20DE%20MAR%C3%87O%20
DE%201999.&text=Disp%C3%B5e%20sobre%20a%20
qualifica%C3%A7%C3%A3o%20de,Parceria%2C%2-
0e%20d%C3%A1%20outras%20provid%C3%AAncias>
292
BRASIL. Lei n.º 13.019, de 31 de julho de 2014. Estabelece o

regime jurídico das parcerias entre a administração pública e
as organizações da sociedade civil, em regime de mútua coo-
peração, para a consecução de finalidades de interesse público
e recíproco, mediante a execução de atividades ou de projetos
previamente estabelecidos em planos de trabalho inseridos em
termos de colaboração, em termos de fomento ou em acordos
de cooperação; define diretrizes para a política de fomento, de
colaboração e de cooperação com organizações da sociedade
civil; e altera as Leis nºs 8.429, de 2 de junho de 1992, e 9.790,
de 23 de março de 1999. (Redação dada pela Lei nº 13.204, de
2015). Disponível em: http://www.planalto.gov.br/ccivil_03/_
ato2011-2014/2014/lei/l13019.htm. Acesso em: 27 dez. 2018.
BRASIL. Lei n.º 13.709, de 14 de agosto de 2018. Dispõe so-
bre a proteção de dados pessoais e altera a Lei n.º 12.965, de
23 de abril de 2014 (Marco Civil da Internet). Disponível em:
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/
Lei/L13709.htm. Acesso em: 27 dez. 2018.
BRASIL. Medida Provisória n.º 869, de 27 de dezembro de
2018. Altera a Lei n.º 13.709, de 14 de agosto de 2018, para dis-
por sobre a proteção de dados pessoais e para criar a Autoridade
Nacional de Proteção de Dados, e dá outras providências. Dis-
ponível em: http://www.planalto.gov.br/ccivil_03/_Ato2015-
2018/2018/Mpv/mpv869.htm#art1. Acesso em: 8 jan. 2019.
BANDEIRA DE MELLO, Celso Antônio. Curso de direito
administrativo, Malheiros Editores, 26ª ed., 2008, p.222.
DI PIETRO, Maria Sylvia Zanella. Direito Administrativo.
São Paulo: Forense, 2017.
DONEDA, Danilo. Da privacidade à proteção de dados pes-
soais. 2. ed. São Paulo: Thomson Reuters/RT, 2019.
LEVIN, Alexandre. Tratamento de dados pessoais pelo Poder
Público – particularidades previstas na LGPD (Lei 13.709/2018).
In DAL POZZO; Augusto Neves; MARTINS, Ricardo Marcon-
des. LGPD & Administração Pública: Uma Análise Ampla dos
Impactos. São Paulo: Thomson Reuters/RT, 2020.
293
MALDONADO, Viviane et al (coord.). LGPD – Lei Geral de Pro-

teção de Dados Comentada. São Paulo: Thomson Reuters/RT, 2019.
MOREIRA, Patrícia Prieto. Tratamento e Uso Compartilhado de
Dados Pessoais pela Administração Pública na execução de polí-
ticas públicas. In DAL POZZO; Augusto Neves; MARTINS, Ri-
cardo Marcondes. LGPD & Administração Pública: Uma Análise
Ampla dos Impactos. São Paulo: Thomson Reuters/RT, 2020.
MOTA ALVES, Fabrício. Desafios da Adequação do Poder
Público à LGPD. In. PALHARES, Felipe. Temas Atuais de
Proteção de Dados. São Paulo: Thomson Reuters/RT, 2020
PALHARES, Felipe et al. (coord.). Temas atuais de proteção
de dados. São Paulo: Thomson Reuters/RT, 2020.
PALHARES, Felipe; PRADO, Luís Fernando; VIDIGAL,
Paulo. Compliance Digital e LGPD. In. NOHARA, Irene Pa-
trícia Diom; ALMEIDA, Luiz Eduado (coord.). Coleção Com-
pliance, V volume. São Paulo: Thomson Reuters/RT, 2021.
PINHEIRO, Patrícia Peck. Proteção de dados pessoais: comentários
à Lei 13.709/2018 (LGPD). São Paulo: Saraiva Educação, 2018.
TOURINHO, Rita. Organizações Sociais no ordenamento
jurídico brasileiro: ultrapassando os limites da omissão legis-
lativa. Disponível em: < https://www.mprj.mp.br/documen-
ts/20184/1904662/Rita_Tourinho.pdf> Acesso em: 03.jul.2022
WIMMER, Miriam. O Regime Jurídico do Tratamento de
Dados Pessoais pelo Poder Público. In: MENDES, Laura
Schertel et al (coord.). Tratado de Proteção de Dados. Rio de
Janeiro: Forense, 2021.
294
A HERANÇA DIGITAL PELO MUNDO E NO

BRASIL: ALGUMAS REFLEXÕES
Fernanda Mathias de Souza Garcia1
I. INTRODUÇÃO
A sucessão causa mortis do patrimônio digital é uma

realidade sem retrocesso tanto no Brasil como no mundo. Inú-
meras perguntas, contudo, estão em aberto, como retratado por
Carlos Luch Cerdá:
“ ¿Qué pasará al morir con todo
cuanto he descrito, con ese conjunto
de archivos generados por nosotros
mismos o adquiridos a terceros con
nuestro dinero y que está en algún
depósito digital? ¿Qué pasará con
nuestro dinero virtual y derechos?
¿Qué pasará con esa reputación digital
que hemos creado a lo largo de años o
décadas? ¿Y con todo cuanto hemos
compartido, con esos elementos que
definen nuestra actitud como seres hu-
manos en el ámbito online? Y ¿por qué no?
¿Qué pasará con nuestras responsabilida-
des si es que vulneramos Leyes o Derechos
de terceros? (CERDÁ, 2016, p. 17–18).2
2
Tradução livre: “O que acontecerá quando você morrer com tudo o que
descreveu, com aquele conjunto de arquivos gerados por nós mesmos ou
adquiridos de terceiros, com nosso dinheiro e que está em algum reposi-
295
Para tais perguntas não há respostas plenamente

prontas, não obstante o tema já esteja na hora do dia.
Não por um acaso a Comissão Digital e Novos Direi-
tos da IX Jornada de Direito Civil do Conselho da Justiça
Federal, coordenada pelo Ministro do Superior Tribunal de
Justiça (STJ) Ricardo Villas Bôas Cueva, condensou a “he-
rança digital” no enunciado nº 687, nos seguintes termos:
“O patrimônio digital pode integrar o espó-
lio de bens na sucessão legítima do titular fa-
lecido, admitindo-se, ainda, sua disposição
na forma testamentária ou por codicilo.”3
O luto digital é um tema novo e complexo. Regis-

tra-se, dentre tantas discussões em torno dessa forma de
sucessão post mortem: definir qual o modo de gestão do
patrimônio digital, quem seriam os sujeitos habilitados a
acessar postumamente os conteúdos criados diuturnamente
nas redes sociais e na internet, como proteger direitos de
personalidade do falecido e de terceiros, seus interlocuto-
res ao longo da vida, bem como avaliar a compatibilida-
de das políticas de uso de serviços online utilizadas pelas
plataformas digitais com a autonomia privada e as normas
sucessórias, regra de direito imperativo, pelo menos no
Brasil (GARCIA, 2022).
A doutrina brasileira se posiciona de forma majoritá-
ria no sentido de que os conteúdos de caráter “existencial”
tório digital? O que acontecerá com nosso dinheiro e direitos virtuais? O
que acontecerá com essa reputação digital que criamos ao longo de anos
ou décadas? E com tudo que compartilhamos, com aqueles elementos que
definem nossa atitude como seres humanos no ambiente online? E porque
não? O que acontecerá com nossas responsabilidades se violarmos as Leis
ou Direitos de terceiros?
3
Disponível em: https://www.cjf.jus.br/enunciados/enunciado/1826).
Acesso: 7.7.2022.
296
das plataformas não seriam aptos à transmissão hereditá-

ria. Essa posição, a nosso ver, todavia, não se coaduna à
regra da sucessão universal aplicada no plano analógico.
Salienta-se, desde já, que o contexto digital não mereceria
tratamento tão diverso, motivo pelo qual quaisquer bens,
independentemente de sua natureza, seriam transmissíveis
mortis causa.
Não obstante, a vocação sucessória digital seja uma
novidade de nossos tempos, para alguns até mesmo uma
forma anômala de transmissão póstuma, reputa-se possível
a transmissão de dados digitais por força do princípio de
saisine (MARINO, 2018, p. 175).
O aumento exponencial tanto da produção como do
compartilhamento de dados em diversas plataformas di-
gitais, verdadeiros repositórios desse acervo, confere im-
portância em se definir o destino póstumo desse conteúdo,
inserido dentro de um novo contexto global decorrente do
avanço tecnológico acelerado pela pandemia da Covid-19
(SARS-COV-2).
O mercado de dados cresceu incomensuravelmente,
o que reflete inexoravelmente no âmbito sucessório. Aliás,
a importância dos gigantes da internet não se reflete ape-
nas no direito privado, mas, também no público, já que ao
Estado interessa o cumprimento das regras sucessórias e
tributárias.
Não se pode negar a importância de se nortear o
destino do conteúdo digital armazenado por empresas
privadas prestadoras de serviços online (em regra gran-
des conglomerados). Enquanto ausente uma regulação
específica para o setor, convém aplicar o tratamento ju-
rídico já existente, sob pena de se aceitar soluções mais
297
convenientes às empresas no território da web, normal-

mente prejudiciais tanto aos consumidores-sucessores-
-usuários, como ao próprio sistema legal.
Desse modo, a internet desempenha influente papel na
dinâmica do poder econômico, contexto no qual se insere a
herança digital, dotada de valor material, emocional e moral.
Dada a sua relevância no panorama mundial o Judiciário es-
trangeiro e nacional têm sido instados a se manifestar acerca
da herança digital.
As demandas, sejam nacionais ou internacionais,
possuem semelhanças quanto à causa de pedir: normal-
mente familiares de um usuário de alguma plataforma
digital já falecido, partindo de motivações de diversas
ordens, perseguem o acesso ao conteúdo de contas vir-
tuais do seu ente querido. Por vezes, o intuito é apenas
o de amenizar a dor da perda com a preservação da pes-
soa eletrônica; outras é buscar um pouco conforto ao se
deparar com lembranças dos momentos derradeiros do
falecido, porém, há ainda que quem deseje a exclusão
definitiva do perfil que, eventualmente, pode assom-
brar a família ou inventariar bens com valor sentimental
e econômico.
Nessa ordem de ideais, reputa-se essencial catalogar
alguns casos concretos acerca da morte digital que foram
objeto de julgamento por tribunais pelo mundo, bem como
no Brasil, de modo a se investigar soluções mais equâni-
mes na inventariança dos bens digitais, a fim de primar por
certa coerência e estabilidade jurisprudencial (art. 927 do
Código de Processo Civil de 2015 - Lei n. 13.105, de 16 de
março de 2015).
298
II. CASOS PELO MUNDO
1. O primeiro caso que se realça envolveu a Google:

em 2014, a escritora iraniana Marsha Mehran, autora do best-
-seller internacional “Sopa de Romã” (publicado na Itália sob
o título de “Caffè Babilonia”) morreu repentina e prematura-
mente durante uma estadia na Irlanda. O pai da escritora en-
viou quatro e-mails para a empresa Google a fim de obter aces-
so à conta em nuvem fornecida pela Google drive e verificar
se a filha teria escrito obras literárias inéditas. Após meses de
negociações e o início de uma ação judicial, o genitor da autora
conseguiu obter da Google (mais de um ano após a morte da
filha) um CD-ROM contendo em média 200 documentos es-
critos por Marsha Mehran (MARINO, 2018, p. 171) 4.
2. Outro interessante caso foi o de Melissa Bonifas,
que requereu judicialmente a exclusão do perfil de Janna
Moore, sua irmã, do Facebook sob a alegação de que, apesar
de morta, sua persona permanecia viva no mundo digital. Sa-
lienta-se quanto aos fatos do processo que:
“O impasse ganhou repercussão nacional e in-
ternacional, e o parlamentar norte-americano
John Wightman, do estado de Nebraska, fez
uma proposta de Lei para regulamentar o di-
reito dos representantes legais de pessoas fale-
cidas ao acesso e gerenciamento de suas ‘pro-
priedades digitais’. O texto do projeto diz que
os herdeiros devem ter o poder de ‘contro-
lar, conduzir, continuar ou terminar qual-
quer conta da pessoa falecida em qualquer
rede social, microblog, serviços de mensa-
gens curtas ou serviço de email’” (grifou-se).5
4
Disponível em: https://fredericksburg.com/business/who-owns-your-digital-after-
life/article_0c8cea16-7bc5-5d25-8a97-14ea0ca85cce.html. Acesso em: 7.7.2022.
5
https://recortesrio.com.br/projeto-de-lei-quer-regulamentar-transmissao-
299
3. Por sua vez, a chef de cozinha inglesa Kelly Har-

mer incluiu em seu testamento bens armazenados na rede por
servidores online, “o que demonstra a real preocupação das
pessoas em relação ao seu patrimônio virtual e sobre quem
herdará seus vídeos, livros, músicas, fotos, e-mails e documen-
tos localizados na internet” (CADAMURO, 2019, p. 109)
4. E, por fim, evidencia-se o caso da “garota do me-
trô” de Berlim, que tramitou por cinco anos. A discussão cin-
gia-se à possibilidade de acesso pelos pais à conta da filha
adolescente, então com 15 anos, falecida em um acidente de
metrô, sob circunstâncias suspeitas de suicídio. Em 2018, o
Tribunal Federal alemão, o Bundesgerichtshof (BGH), equi-
valente ao Superior Tribunal de Justiça brasileiro (STJ), pôs
fim à controvérsia, permitindo o acesso dos pais ao perfil da
filha falecida (LAURA SCHERTEL FERREIRA MENDES;
KARINA NUNES FRITZ, 2019, p. 192).
O BHG decidiu, em apertada síntese, que da mes-
ma forma que todas as obrigações, direitos e patrimônio são
transmissíveis na sucessão universal, o direito de acesso a
essa conta também se transmite, por versar uma obrigação
como outra qualquer constante no mundo analógico. A conta
havia sido transformada em memorial pelo Facebook – único
a ter pleno e livre acesso ao conteúdo da conta, não obstante o
público ainda pudesse postar mensagens, de condolências, ou
não, na plataforma. A potente empresa motivara o bloqueio
do acesso aos herdeiros à conta sob o fundamento da preser-
vação da privacidade do usuário, de seus contatos e interlo-
cutores, bem como de proteção ao sigilo das comunicações e
de dados pessoais.
Por oportuno, cita-se lição de Karina Nunes Fritz
acerca do importante leading case germânico:
-de-herancas-digitais/ Acesso em: 19.8.2021
300
“O Landergericht Berlin, juízo de primeiro

grau, deu ganho de causa aos pais da adoles-
cente, ordenando o Facebook a liberar o aces-
so à conta da falecida. Segundo a sentença,
a herança digital, tal como a analógica, per-
tence aos herdeiros, que podem acessar todas
as contas de e-mails, celulares, WhatsApp e
redes sociais do falecido. Em grau de recur-
so, porém, o Kammegericht reviu a decisão.
Embora salientando que, em regra, os direitos
e obrigações relacionadas a contratos – como
o contrato de uso de plataforma celebrado
entre o Facebook e seus usuários – são trans-
missíveis via herança, a Corte entendeu que
não havia ainda ‘clareza jurídica’ acerca da
transmissibilidade de bens de conteúdo perso-
nalíssimo, além do que o acesso ao conteúdo
personalíssimo, além do que o acesso ao con-
teúdo digital violaria o sigilo das comunica-
ções, assegurado no §88 da lei alemã das te-
lecomunicações (Telekommunikatiosgesetz).
A genitora, então, interpôs recurso (Revision)

ao BGH, que reformou a decisão do Tribunal
a quo, reconhecendo o direito sucessório dos
pais ter acesso à conta da filha falecida e, con-
sequentemente, a todo o conteúdo lá armazena-
do. Trata-se do processo BGH III ZR 183/17,
julgado em 12.07.2018. Em síntese, a Corte
reconheceu a existência de uma pretensão dos
pais, herdeiros únicos da menor, de ter acesso à
conta e a todo o conteúdo lá armazenado. Essa
pretensão decorreria diretamente do contrato
de uso de plataforma digital, celebrado entre
a adolescente e o Facebook, o qual é transmi-
tido aos herdeiros por força do princípio da
sucessão universal, que vigora no mundo digi-
tal da mesma forma que no mundo analógico”
(FRITZ, 2021, p. 229 - grifos originais).
301
O BGH reconheceu o direito dos herdeiros de acesso à

conta da falecida de forma exclusivamente passiva (passives
Zugiffsrecht), restando autorizado a visualização do conteúdo
previamente armazenado. Ou seja, os herdeiros não poderiam
acessar ativamente (aktives Zugriffsrecht), pois não autoriza-
dos a continuar a utilizar a conta em nome do titular (FRITZ,
2021, p. 230), o que poderia acarretar em uma perpetuação
eterna da vida do usuário, com alterações futurísticas e im-
previsíveis da sua vontade.
III. CASOS NO BRASIL
1. Em 20136, uma mãe requereu junto ao Facebook

que fosse deletado o perfil da sua filha morta em virtude de
um acidente ocorrido em Mato Grosso do Sul. Segundo a
genitora as postagens de mensagens postadas por amigos re-
tratavam um eterno velório e um autêntico e infinito “muro
de lamentações”, que só potencializavam o enorme sofri-
mento da família em face da lamentável perda. O Juízo da
1ª Vara do Juizado Especial Central de Campos Grande/MS
recebeu a inicial como obrigação de fazer cumulada com
indenização por danos morais e determinou que o Facebook
Serviços Online do Brasil excluísse o perfil da jovem no pra-
zo de 48 horas, sob pena de multa diária (RESTA, 2014).
2. Em 20177, a Justiça de Minas Gerais, por meio da
Vara Única da Comarca de Pompeu/MG, julgou um caso
em que os pais ajuizaram ação para obter acesso a dados
de Helena, a filha falecida, os quais se encontravam arqui-
Processo n. 0001007-27.2013.8.12.0110
6
Processo n. 0023375-92.2017.8.13.0520
7
302
vados em uma conta virtual atrelada ao seu telefone móvel

da marca Apple (iphone).
O pedido foi julgado improcedente pelo juiz Manoel
Jorge de Matos Junior que vedou o acesso da genitora às in-
formações da filha e de terceiros, considerando o direito à
privacidade de todos os envolvidos nas postagens. Em sua
fundamentação, garantiu o sigilo da correspondência e das
comunicações (art. 5º, XII, na Constituição Federal) e o di-
reito à intimidade e personalidade tanto da filha como de seus
interlocutores. Não houve recurso e o feito foi arquivado.
3. Em 2020 o Juízo da 10ª Vara de Guarulhos/SP
proferiu uma decisão8 a pedido da viúva do falecido, sua
inventariante, que precisava findar uma transação imobi-
liária iniciada antes mesmo da morte do marido. A moti-
vação da sentença se deu com fulcro no art. 10 do Marco
Civil da Internet (Lei 12.965/2014) e oportunizou o acesso
à autora aos dados de e-mail do falecido, hospedados no
Yahoo!, que, supreendentemente, concordou com o pleito.
4. Em 2021, a 31ª Câmara de Direito Privado do Tribunal
de Justiça de São Paulo9 manteve a improcedência do pedido for-
mulado em ação indenizatória cumulada com obrigação de
fazer, movida pela mãe de Mariana, falecida em um acidente.
A autora pretendia a manutenção do perfil do Facebook da filha
morta - como alívio para a dor da brutal perda. O Tribunal man-
teve a decisão de exclusão da conta da usuária falecida, vedando
a transmissão de seu conteúdo à herdeira ascendente, partindo da
preservação da legalidade dos termos de uso da empresa, cuja
abusividade ou falha na prestação dos serviços não teria ficado
inteiramente demonstrada no caso concreto.
Processo n. 1036531-51.2018.8.26.0224
8
Apelação Cível n. 1119688-66.2019.8.26.0100

9
303
Válido transcrever o teor da ementa do julgado, que

é objeto de recurso especial pendente de análise pela Ter-
ceira Turma do STJ:
“Ação de Obrigação de Fazer e Indenização
por Danos Morais- Sentença de Improce-
dência -Exclusão de perfil da filha da auto-
ra de rede social (Facebook) após sua morte
- Questão disciplinada pelos Termos de Uso
da plataforma, aos quais a usuária aderiu em
vida - Termos de Serviço que não padecem de
qualquer ilegalidade ou abusividade nos pon-
tos analisados - Possibilidade do usuário optar
pelo apagamento dos dados ou por transformar
o perfil em ‘memorial’, transmitindo ou não a
sua gestão a terceiros - Inviabilidade, contudo,
de manutenção do acesso regular pelos fa-
miliares através de usuário e senha da titular
falecida, pois a hipótese é vedada pela plata-
forma - Direito personalíssimo do usuário, não
se transmitindo por herança no caso dos autos,
eis que ausente qualquer conteúdo patrimonial
dele oriundo - Ausência de ilicitude na conduta
da apelada a ensejar responsabilização ou dano
moral indenizável - Manutenção da sentença –
Recurso não provido”10.
Assim sendo, o pedido dos herdeiros da jovem poderia vio-

lar os termos de uso das plataforma digital, razão pela qual se justi-
ficaria a remoção do perfil, especialmente porque a usuária não se
posicionara em vida acerca do destino póstumo de sua conta, o que
ensejaria a aplicação automática dos termos de uso do Facebook
(regra contratual que faz lei entre as partes), qual seja: a de trans-
formação automática da conta em uma espécie de “memorial” (hi-
pótese na qual as funções da plataformas ficam restritas e limitadas
para o público em geral, exceto para a própria plataforma).
Disponível em: https://tj-sp.jusbrasil.com.br/uisprudencia/1179516485/

10
apelacao-civel-ac-11196886620198260100-sp-1119688-6620198260100
Acesso em: 13.7.2022.
304
A demanda foi dirimida com base em princípios

constitucionais e civilistas, sob o prisma da personalidade
e da autonomia da vontade, com intuito de valorizar e pre-
servar a vontade do usuário.
Como se percebe, a decisão se contrapõe àquela pro-
ferida em 2013, na qual houve a manifesta desconsideração
dos termos de uso da plataforma, com apoio em premissas
diametralmente distintas.
O recurso contra o mencionado acórdão ascendeu ao
Superior Tribunal de Justiça e, em um primeiro momento,
não foi distribuído a um relator em virtude de sua intem-
pestividade reconhecida pela Presidência da Corte (AREsp
n.º 1998471/SP, DJe 16.11.2021). O processo, no entanto,
foi distribuído a um dos integrantes das turmas de Direi-
to Privado em virtude da interposição de agravo interno.
Diante da relevância das questões suscitadas o relator, Mi-
nistro Paulo de Tarso Vieira Sanseverino, deu provimento
ao agravo para melhor analisar o recurso especial interpos-
to, determinando, por conseguinte, a sua conversão11.
5. Em 2022 o Juízo da 2ª Vara do Juizado Especial de
Santos12 assegurou o acesso aos dados armazenados em apa-
relho celular da marca Apple aos herdeiros necessários do
autor da herança (art. 1.829 do Código Civil de 2002), prin-
cipalmente em virtude do interesse sentimental da família em
conhecer as últimas lembranças remanescentes do falecido.
Um jovem, então com vinte anos, foi atropelado por um
carro enquanto andava de bicicleta, tendo falecido em con-
11
Disponível em: https://processo.stj.jus.br/processo/dj/documento/mediado/?tipo_
documento=documento&componente=MON&sequencial=156175340&tipo_do-
cumento=documento&num_registro=202103195517&data=20220622&forma-
to=PDF . Acesso em: 13.7.2022. A última fase do processo foi a disponibilização da
intimação eletrônica ao Ministério Público Federal em 22.6.2022.
12
Processo n.º 1020052-31.2021.8.26.0562
305
sequência do acidente. Seu genitor ingressou com uma ação

judicial, que foi provida, no sentido de lhe garantir o acesso
a fotos, vídeos e mensagens armazenadas no celular do filho.
Isso posto, percebe-se de boa parte da fundamentação
das decisões judiciais supramencionadas um certo tom de
sentimentalismo (MAXIMILIANO, 2000, p. 84), o que não é
recomendável em um país que vem buscando construir uma
teoria de precedentes inspirada no common law. Não por um
acaso, o Superior Tribunal de Justiça está sendo conduzido a
enfrentar o tema, sendo certo que seu norte é primar por coe-
são, uniformidade e estabilidade na adoção de soluções jurídi-
cas, não sendo a herança digital tema alheio a esse parâmetro
constitucional (art. 105 da Constituição Federal de 1988).
IV. POLÍTICAS E TERMOS DE USO DE ALGUMAS

PLATAFORMAS EM RELAÇÃO À SUCESSÃO
CAUSA MORTIS
Não há como negar a existência atual de uma persona-

lidade ou identidade digital, que poderia significar um conjunto
de traços digitais com os quais uma pessoa física ou jurídica
se revela na rede (personalidade nem sempre correspondente
àquela física ou analógica). A pergunta ainda pendente de uma
resposta equânime é justamente saber a quem incumbe admi-
nistrar, após a morte do sujeito de direito, sua exteriorização
da personalidade constante em blogs, perfis nas redes sociais,
vídeos no Youtube…alguns com caráter meramente existencial
e outros monetizáveis (GRANADO, 2016, p. 41).
Interessante notar que, mercê de não ser estimulada a
escolha em vida do futuro rastro digital pelos usuários (mani-
festamente consumidores), as políticas de gerenciamento de
306
perfis de pessoas já falecidas não seguem uma regra harmôni-

ca, o que é gera demasiada confusão quanto ao entendimento
das regras sucessórias de diversas plataformas digitais.
O Twitter, por exemplo, permite a remoção ou de-
sativação do perfil do usuário morto se houver solicitação
explícita de um herdeiro, familiar próximo ou de contatos
previamente autorizados pelo falecido e, até mesmo, de um
representante do Estado. O pedido deve ser realizado por
meio do preenchimento de um formulário de privacidade,
com o qual devem ser acostados documentos aptos a de-
monstrar o evento morte13, evitando-se falsas denúncias.
Dentre os dados e documentos exigidos estão detalhes e al-
gumas informações acerca da pessoa falecida, cópia de sua
identidade e a juntada da certidão de óbito do usuário.
Contudo, o Twitter não fornece informações de
acesso à conta do falecido, independentemente do grau de
relacionamento do requerente com o usuário.
O Instagram, seguindo, em certa medida, os pas-
sos do Facebook14, define que o perfil seja convertido em
13
Disponível em: https://help.twitter.com/pt/rules-and-policies/contact-
-twitter-about-media-on-a-deceased-family-members-account e https://
help.twitter.com/pt/rules-and-policies/contact-twitter-about-a-deceased-
-family-members-account Acesso em: 20.7.2022.
14
No que se refere ao Facebook há uma maior liberdade quando defini-
do um contato herdeiro (pessoa escolhida para cuidar do memorial do
falecido, já que esta pessoa poderá escrever uma publicação fixada no
seu perfil (por exemplo, para compartilhar uma mensagem final em seu
nome ou fornecer informações sobre o funeral); atualizar a foto do per-
fil e a foto da capa; solicitar a remoção da conta e baixar uma cópia do
conteúdo compartilhado no Facebook, caso esse recurso esteja ativado.
O contato herdeiro, todavia, não poderá entrar na conta diretamente,
ler as mensagens privadas e remover amigos ou fazer novos amigos no
lugar do usuário falecido. Disponível em: https://www.facebook.com/
help/1568013990080948 Acesso em: 22.7.2022.
307
memorial desde que os interessados apresentem a certidão

de óbito do usuário, bem como toda a documentação apta
à comprovação dos vínculos familiares e de amizade15. Em
virtude da pandemia da Covid-19 há um pedido na página
da plataforma de compreensão pela demora na análise de
solicitações de transformação da conta em memorial ou de
sua exclusão pela equipe disponível, manifestamente mais
ocupada para a efetivação desse tipo de análise.
No que tange ao mencionado memorial, este se ca-
racteriza por impedir que novos usuários entrem nesse es-
paço “sagrado”, que fica sinalizado por uma expressão “em
memorial” exibida ao lado do nome da pessoa no perfil, e
consente acesso às publicações da pessoa falecida previa-
mente compartilhadas com o público (tais como fotos, ví-
deos, comentários, etc.). A par disso, é vedada a alteração de
publicações ou informações constantes nos memoriais, que
sequer aparecem, por exemplo, em algumas ferramentas, a
exemplo daquela denominada “Explorar”.
Outrossim, identificar o destino póstumo da biblio-
teca do Kindle não é das tarefas mais fáceis16. Isto porque,
tecnicamente, não há nenhum tipo de obrigação oficial à
transmissão causa mortis dessa biblioteca virtual cuja pro-
priedade era exclusiva do autor da herança17. Não obstante,
em 201418 a ferramenta permitiu o compartilhamento da bi-
blioteca em vida com mais de um familiar (Family Library),
o que não soluciona a controvérsia relativa à sucessão des-
ses bens digitais, mas abre uma janela de oportunidade na
busca de soluções desse manifesto imbróglio.
15
Disponível em: https://www.facebook.com/help/insta-
gram/231764660354188?helpref=hc_fnav Acesso em: 20.7.2022.
16
Disponível em: https://www.amazon.com.br/gp/help/customer/display.
html?nodeId=201909010 Acesso em: 20.7.2022.
17
Disponível em: https://blog.the-ebook-reader.com/2020/01/31/what-ha-
ppens-to-your-kindle-ebooks-when-you-die/ Acesso em: 20.7.2022.
18
Disponível em: https://www.tecmundo.com.br/kindle/65964-amazon-atuali-
za-kindle-permite-familiares-compartilhem-livros.htm Acesso em: 20.7.2022.
308
No que se refere ao Spotify19 há mais perguntas do que

respostas20, porque aparentemente a ferramenta não deleta a
conta sem pedido expresso do usuário ou de um parente do
de cujus, sendo certo que o procedimento de encerramento das
contas varia a depender se o serviço era ou não remunerado.
Por sua vez, a Apple 21 recomenda que seus usuá-
rios “adicionem um Contato de Legado no ID Apple* ou
um testamento que inclua as informações pessoais que
armazenam nos dispositivos e no iCloud”, postura que sim-
plificaria o processo de justificação judicial e reduziria o atra-
so e a frustração do pleito de familiares quando enlutados.
Aparentemente a Google está à frente das demais no
que se refere à gestão de contas inativas22. De fato, a plataforma
possui informações mais claras acerca do destino das informa-
ções póstumas do usuário23. A empresa estimula que os usuá-
rios reflitam acerca dos planos póstumos de suas contas ao
propiciar um mecanismo de gestão de contas inativas. De cer-
to modo, a empresa rastreia os acessos em vida do usuário de
modo a identificar se este ainda é ativo ou se, porventura, dese-
jaria que sua conta fosse excluída, a partir de ferramentas como
a “minha atividade no Google” (myactivity.google.com).
19
Disponível em: https://www.spotify.com/us/legal/privacy-policy/?_
ga=2.111328070.373198614.1658358660-1778439733.1658358660
Acesso em: 20.7.2022.
20
Disponível em: https://community.spotify.com/t5/Subscriptions/Cancelling-
-an-account-for-somebody-who-has-died/td-p/1986076 Acesso em: 20.7.2022.
21
Disponível em: https://support.apple.com/pt-br/HT208510 Acesso em: 20.7.2022.
22
Disponível em: https://support.google.com/accounts/
answer/3036546?hl=pt-BR Acesso em: 20.7.2022.
23
Disponível em: https://support.google.com/accounts/troubleshoo-
ter/6357590?hl=en Acesso em: 20.7.2022.
309
O Gerenciador de contas inativas é um meio viável e

muito útil para a finalidade proposta, pois admite que nem
todos que falecem deixam instruções claras sobre o destino de
suas contas online e, por isso, assume a postura de trabalhar
com familiares e representantes imediatos para, eventualmente,
encerrar a conta do falecido, quando apropriado. Justamente
para manter a privacidade dos dados do falecido a empresa não
repassa senhas ou outros detalhes de login.
Como se depreende do quadro apresentado, não há uma
uniformidade de soluções postas à disposição dos consumidores,
independentemente da discussão acerca da natureza dos bens di-
gitais (se existenciais, patrimoniais ou híbridos), uma de tantas
outras discussões que permeiam o tema24 (ZAMPIER, 2021).
V. CONCLUSÕES
Como se afere das hipóteses acima tratadas, o tema

da herança digital ainda não está plenamente solidificado
na jurisprudência estrangeira e pátria. Desse modo, fica la-
tente o casuísmo na interpretação dos casos, os quais nor-
malmente tangenciam direitos fundamentais, tais como li-
berdade de informação, intimidade e dignidade humana. É
o sofrimento humano que acaba servindo de baliza ou nor-
te para algumas soluções jurisdicionais, enquanto outras
se calcam em outras motivações e princípios, o que enseja
insegurança jurídica, tão cara ao sistema (art. 5º, XXXVI,
da CF/1988 e CPC/2015 - Lei n. 13.105, de 16 de março).
Há certa ingenuidade no tratamento conferido pe-
los usuários ao seu rastro digital. A posse de dados pere-
nes e valiosos vem sendo concedida de bom grado pelos
Disponível em: https://www.migalhas.com.br/coluna/familia-e-suces-

24
soes/288109/heranca-digital-e-sucessao-legitima-primeiras-reflexoes
Acesso em: 20.7.2022.
310
usuários às grandes plataformas digitais. A morte, como

pressentido, pode representar um bom negócio para essas
empresas, situação que envolve todo o globo.
Considera-se indispensável que os termos de uso de todos
os serviços postos à disposição dos usuários na rede sejam claros
acerca da transmissibilidade dos dados digitais post mortem 25.
A sociedade da informação vem compreendendo a im-
portância da temática, manifestamente de caráter coletivo. A
herança digital, por vezes, tem valor incomensurável ou de
árdua avaliação monetária. Há perfis que valorizam com o
advento da morte, o que pode soar um tanto quanto maca-
bro, porém realista (os perfis de artistas como Gugu Libera-
to, Kobe Bryant e Marília Mendonça26 são bons exemplos
dessa realidade). Avatares de pessoas falecidas, verdadeiros
produtos, poderão permanecer vivos (ou ativos) caso não se
preveja uma regulação desse fenômeno global.
25
Acerca de um resumo do estado das coisas confira-se: file:///C:/Users/
SAMSUNG/Zotero/storage/WFCK4D4D/heranca-e-bens-digitais-direi-
to-morte-e-tecnologia.html Acesso em: 20.7.2022.
26
A propósito confira-se o podcast Direito Digital: Herança Digital –
Ana Frazão e Caitlin Mulholland https://open.spotify.com/episode/2Ax-
7f594Eftmk5HOXDjRXc Acesso em: 20.7.2022. A propósito do lança-
mento de homenagem por um ano da morte da cantora Marília Mendonça
e a repercussão na mídia digital confira-se notícia publicada na Folha de
São Paulo: https://f5.folha.uol.com.br/musica/2022/07/marilia-mendon-
ca-ganha-ep-postumo-um-dia-antes-de-seu-aniversario.shtml Acesso em:
21.7.2022. No dia 22.7.2022, em que Marília Mendonça completaria 27
anos, um novo álbum “Decretos Reais Vol. 1”, ainda inédito, foi lança-
do na plataforma de streaming spotify, que apresentou instabilidades em
razão do número de acessos de internautas para reprodução do álbum.
O primeiro trabalho póstumo da artista conta com cinco músicas inter-
pretadas em lives apresentadas durante o isolamento decorrente da pan-
demia. Disponível em: https://www1.folha.uol.com.br/ilustrada/2022/07/
marilia-mendonca-derruba-spotify-com-lancamento-de-album-com-clas-
sicos.shtml Acesso em:22.7.2022. Nos primeiros minutos após o lança-
mento os vídeos no Youtube chegaram a 100 mil visualizações.
311
A rentabilidade do mercado de dados é assustadora e a

coleta destes ativos se dá tanto em vida, como após a morte
do usuário 27, a quem deveria incumbir prima facie a definição
do destino de seu rastro digital, sob pena de relegar tal defini-
ção às plataformas, com a adesão a seus termos e usos, ou ao
Estado, que define as regras da sucessão universal no Livro
V do Código Civil de 2002 (Lei n. 10.406 de 10 de janeiro).
Há, portanto, um risco iminente de que os prove-
dores ou plataformas digitais assumam em definitivo o
protagonismo no que se refere à herança digital. E, o
cenário se torna temerário porque os usuários sequer
são conscientizados dessa problemática. Portanto, até
que se regulamente a herança digital (que desafia uma
análise regulatória, mas também de políticas públicas),
incumbe ao Poder Judiciário o desafio de dirimir inúme-
ros conflitos advindos do avanço tecnológico, acelerado
no mundo todo.
Assim, deve-se estimular o esclarecimento do usuário
acerca de suas opções no que tange ao destino de seu pa-
trimônio digital (designação de usuário, testamento, suces-
são universal etc.). Essa política evitaria, aprioristicamente,
tantos conflitos judiciais e possibilitaria identificar melhor
os responsáveis nos eventuais casos de abusos cometidos
na rede após a morte do usuário, que deve ter consciência
de que, se não manifestar vontade em sentido contrário, se
submeterá às regras sucessórias já existentes.
27
Infelizmente nem o GDPR – General Protection Regulation – (Regulamen-
to Geral de Proteção de Dados da União Europeia: REGULAMENTO (UE)
2016/679 DO PARLAMENTO EUROPEU E DO CONSELHO de 27 de abril
de 2016: https://eur-lex.europa.eu/legal-content/PT/TXT/PDF/?uri=CELE-
X:32016R0679 ) – nem a LGPD – LEI GERAL DE PROTEÇÃO DE DADOS
(Lei n. 13.709 de 14 de agosto de 2018, cuja vigência se festeja na presente obra:
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm) se
manifestaram quanto à aplicabilidade de suas regras às pessoas falecidas.
312
Aliás, válido mencionar interessante conclusão de

Francisco Rosales de Salamanca Rodríguez ao citar Luis
Fernández Bravo Francés no sentido de que não há nada de
novo sob o sol quanto ao conceito do que se considera “di-
gital”. O que parece estar acontecendo é uma confusão entre
meios e fins, tendo em vista a aparente criação de novas
soluções para velhos problemas, já resolvidos pelo sistema
há muito tempo (RODRÍGUEZ, 2016, p. 27–28).
É inegável que a transformação das relações na era digital
ocasionou muitos avanços concernentes à facilitação de comu-
nicação, à democratização da internet e à troca de experiências,
porém, faz-se necessário assumir uma postura menos ingênua
com relação às correntes que tendem a negar a transmissão de
dados mortis causa. Isso porque a maioria dos ativos digitais,
independentemente de sua natureza, poderão vir a ser geridos ou
até excluídos por imperativa vontade de grandes conglomerados
inadequadamente, o que ofende as regras do ordenamento pátrio,
tanto sob o prisma sucessório, como do consumerista.
Reitera-se, por fim, a necessidade de um olhar mais
acurado para a herança digital, sob pena de que a defesa da
proteção da privacidade dos usuários, no lugar de realizar a
justiça, afaste a segurança jurídica, bem como a responsabi-
lidade dos gigantes da internet.
VI. REFERÊNCIAS
CADAMURO, L. G. Proteção dos Direitos da Personalidade

e a Herança Digital. Edição: 1 ed. [s.l.] Juruá Editora, 2019.
FRITZ, K. N. A Garota de Berlim e a Herança Digital. Em: Herança
Digital - Controvérsias e Alternativas - Coordenadoras = Ana Carolina
Brochado Teixeira e Livia Teixeira Leal. Rio de Janeiro: Foco, 2021.
313
GARCIA, F. M. DE S. Herança Digital - o Direito Brasileiro e

a Experiência Estrangeira. Rio de Janeiro: Lumen Juris, 2022.
LAURA SCHERTEL FERREIRA MENDES; KARINA NU-
NES FRITZ. Case Report: Corte Alemã Reconhece a Trans-
missibilidade da Herança Digital. RDU, v. 15, n. 85, p. 188–
211, fev. 2019.
MARINO, G. La «successione digitale». ODCC, v. 1/2018,
n. Società editrice il Mulino, p. 165–202, 2018.
MAXIMILIANO, C. Hermenêutica e Aplicação do Direito.
18a Edição ed. Rio de Janeiro: Forense, 2000.
RESTA, G. La “Morte” Digitale. Diritto dell’informazione e
dell’informatica (II), v. fasc. 6, p. 891, 2014.
RICARDO, O. L.; SONSOLES, V. B. Testamento Digital?
Espanha: Juristas con Futuro, 2016.
ZAMPIER, B. Bens Digitais. 2a Edição ed. [s.l.] Editora
Foco, 2021.
314
STARTUPS E RIPD: AVALIANDO A PRIVACIDADE

EM SOLUÇÕES INOVADORAS
Gabriel Lima Lins1
I. INTRODUÇÃO
Cada vez mais, o desenvolvimento de soluções inova-

doras envolve o tratamento de uma quantidade significativa
de informações, inclusive de dados pessoais. Empresas são
capazes de explorar estas informações para otimizar seus pro-
dutos e processos e inovar os seus modelos de negócios2.
De um lado, neste contexto de inovação tecnológica,

ganham relevância as startups, organizações de operação re-
cente voltadas a desenvolver e a levar ao mercado produtos
ou serviços únicos, através da inovação3. Recentemente regu-
lamentadas pela Lei Complementar nº 182/2022 (o “Marco
Legal das Startups”), estas entidades são conhecidas por te-
rem um maior apetite a riscos e desenvolverem suas ativida-
des em ambiente de extrema incerteza.
De outro lado, a grande quantidade de dados pessoais coleta-

dos, processados e compartilhados através do uso de soluções inova-
doras traz preocupações quanto à privacidade de seus titulares, tendo
muitas jurisdições optado pela edição de leis de proteção de dados,
inclusive o Brasil, por meio da Lei nº 13.709/2018 (a “LGPD”).
1
Graduado em Direito pela UFPE, advogado no Colares Advogados
2
MARTIN, N., MATT, C., NIEBEL, C. et al. How Data Protection Regula-
tion Affects Startup Innovation. Inf Syst Front 21, 1307–1324. Disponível
em: doi.org/10.1007/s10796-019-09974-2 Acesso em jul./2022. Págs. 1 e 2.
3
BALDRIDGE, Rebecca; CURRY, Benjamin. What Is A Startup? Forbes. Dispo-
nível em: forbes.com/advisor/investing/what-is-a-startup/ Acesso em jul./2022.
315
A compatibilização entre a inovação realizada por star-

tups e a proteção de privacidade e dos dados pessoais passa
pela condução de Relatório de Impacto à Proteção de Da-
dos Pessoais (o “RIPD”), instrumento que permite às orga-
nizações visualizar, examinar e tratar riscos. Se conduzido
de forma adequada, o RIPD pode atuar para, a um só tempo,
maximizar o nível de privacidade em soluções inovadoras e
garantir um uso efetivo dos dados pela startup.
Com isso, o presente trabalho se propõe a analisar o regra-

mento jurídico atribuído às startups, inclusive de que forma estas
se inserem no contexto da proteção de dados pessoais, bem como
examinar os aspectos relevantes para a elaboração de um RIPD
por uma startup, a partir de uma metodologia de gestão de riscos.
II. PANORAMA DO TRATAMENTO DAS STARTUPS

NO ORDENAMENTO JURÍDICO BRASILEIRO
O ordenamento jurídico brasileiro reconhece a impor-

tância de iniciativas e arranjos empresariais voltados à inova-
ção, garantindo-lhes proteção constitucional e legal.
É dever do Estado promover e incentivar o

desenvolvimento científico, a pesquisa, a capacitação
científica e tecnológica e a inovação, bem como estimular a
formação e o fortalecimento da inovação nas empresas (art.
218 e 219, Parágrafo Único, da CF/88).
No mais, de acordo com o art. 218, §4º, da CF/88, de-

vem ser apoiadas e estimuladas, por lei, as empresas que in-
vistam em pesquisa e criação de tecnologia adequada ao país.
Em razão disso, surge a Lei nº 10.973/04, conhecida como
316
Lei da Inovação, que dispõe sobre incentivos à inovação e à

pesquisa científica e tecnológica no ambiente produtivo.
Além de versar sobre importantes instrumentos de es-

tímulo à ciência, pesquisa e desenvolvimento, esta lei traz o
conceito jurídico de inovação, sendo esta considerada a:
“(...) introdução de novidade ou aperfeiçoamento no

ambiente produtivo e social que resulte em novos
produtos, serviços ou processos ou que compreenda
a agregação de novas funcionalidades ou caracterís-
ticas a produto, serviço ou processo já existente que
possa resultar em melhorias e em efetivo ganho de
qualidade ou desempenho.4”
De outra parte, a atividade e o estímulo às startups e ao

empreendedorismo inovador são regulamentados, de forma
mais específica, pelo Marco Legal das Startups. A legislação
reconhece o empreendedorismo inovador como vetor de de-
senvolvimento e busca incentivar a constituição de ambientes
favoráveis a estes, inclusive através da valorização da segu-
rança jurídica (art. 3º, I e II).
O Marco também traz um conceito jurídico atualiza-

do de startups, definindo-as como estruturas nascentes ou de
recente operação que tenha sua atuação caracterizada pela
inovação aplicada a modelo de negócios ou a produtos ou
serviços ofertados (art. 4º)5.
4
BRASIL. Lei nº 10.973 de 2004. Brasília, DF: Senado Federal: Centro Gráfico, 2004.
5
O conceito previsto ainda traz critérios relacionados ao tempo de ope-
ração e limite de faturamento para que uma empresa seja enquadrada no
conceito de startup, conforme prevê o §1º do artigo 4º.
317
Além disso, é garantido às empresas de inovação, in-

cluídas as startups, um regime simplificado para abertura e
fechamento de empresas, bem como exame prioritário nos
depósitos de patente e registro de marca, a partir da adesão
ao regime do Inova Simples (art. 65-A, da Lei Complementar
nº 123/06). A normativa busca estimular a criação, formali-
zação, desenvolvimento e consolidação de empresas de ino-
vação como agentes indutores de avanços tecnológicos e da
geração de emprego e renda.
É de se notar que tratamento jurídico das startups, no Bra-

sil, reconhece a sua importância para o desenvolvimento do país
e busca criar uma rede de estímulos para negócios inovadores.
Por isso, entende-se que a regulação relativa à proteção de dados
pessoais deve considerar o contexto específico das startups e da
inovação por elas conduzida no ordenamento jurídico, de forma
a criar mecanismos próprios de promoção e incentivo.
III. INOVAÇÃO, STARTUPS E PROTEÇÃO DE DA-

DOS PESSOAIS
a) Inovação versus Regulação: um dilema econômico
Do ponto de vista econômico, a introdução de leis de

proteção de dados opera como um tipo de regulação social
do mercado, sendo um “‘estabelecimento de regras coerciti-
vas’ por governos para influenciar a atividade do mercado e o
comportamento dos atores econômicos6”.
Desta forma, a regulação impõe custos para a adequação,

canalizando recursos de outra forma destinados a atividades
MARTIN, N., MATT, C., NIEBEL, C. et al. Op Cit. Pág. 2 e 3.

6
318
produtivas, como o desenvolvimento de atividades inovadoras.

Também, a regulação impõe uma barreira de entrada no merca-
do, fazendo com que haja uma diminuição na concorrência e,
consequentemente, menores incentivos à inovação7.
Sob esta perspectiva, as leis de proteção de dados pode-

riam parecer, à primeira vista, apenas uma barreira/empecilho
à inovação e às atividades das startups. Porém, é necessário
destacar que uma abordagem centrada apenas nos custos de-
correntes da regulação de proteção de dados não é capaz de
esgotar o impacto que esta pode ter na inovação.
É preciso considerar que, em uma sociedade cada vez

mais conectada, os agentes econômicos devem estar mais
atentos à formação e à manutenção da confiança perante seus
consumidores. A confiança é essencial em espaços marcados
pela incerteza e interdependência, como é o caso do ambiente
digital8. Nesse sentido, destaca-se o seguinte:
“[...] the use of digital technologies is fundamentally

underpinned by trust, which is essential for digital in-
teractions and transactions to take place. Mistrust in
turn can be an important barrier to diffusion and effec-
tive use. In particular, concerns about digital security
and privacy can severely hamper individuals’ pro-
pensity to carry out online activities (OECD, 2019).9”
Assim, ao passo que a transformação digital progri-

de, a privacidade e a proteção de dados pessoais emergem
7
MARTIN, N., MATT, C., NIEBEL, C. et al. Op Cit. Pág. 2 e 3.
8
OECD. “Going Digital integrated policy framework” OECD Digi-
tal Economy Papers, No. 292, OECD. Paris, 2020. Disponível em: doi.
org/10.1787/dc930adc-en. Acesso em jul./2022. Pág. 35.
9
OECD. Op Cit. Pág. 15.
319
como um fator ainda mais central que influencia a formação

da confiança dos usuários de soluções tecnológicas. Há, por-
tanto, um dilema: o cumprimento de regulações de proteção
de dados pessoais, ao mesmo tempo que impõe determinadas
barreiras à atividade inovadora, é essencial para a formação
da confiança na sociedade atual.
Torna-se essencial, neste contexto, a adoção de um fra-

mework regulatório que seja capaz de estabelecer parâme-
tros sobre como colher os benefícios sociais e econômicos
relacionados ao acesso e ao compartilhamento de dados, ao
mesmo tempo em que aborda as preocupações relacionadas à
proteção da privacidade e dos dados pessoais.
Por isso, a OCDE orienta que os seus Estados-membros

removam ou evitem criar obstáculos ao fluxo de dados pes-
soais transnacional, incentivando a sua livre circulação, mas
que considerem, em suas legislações nacionais, os princípios
de limitação da coleta e do uso de dados, da qualidade dos
dados, da accountability e das salvaguardas de segurança10.
Nessa linha, o Estado deve empenhar-se em fixar nor-

mativas que tragam uma justa medida entre a proteção da pri-
vacidade e das liberdades individuais, de um lado, e o avanço
do livre fluxo de dados pessoais, de outro.
OECD.
10
Guidelines on the Protection of Priva-
cy and Transborder Flows of Personal Data. Disponível
em: oecd.org/sti/ieconomy/oecdguidelinesontheprotectionofprivacyan-
dtransborderflowsofpersonaldata.htm#background Acesso em jul./2022.
320
b) O tratamento da inovação na LGPD: um dilema

jurídico
A LGPD traz a inovação como base da disciplina da pro-

teção de dados pessoais no Brasil, sendo um dos fundamentos
da LGPD (art. 2º, V) juntamente com o desenvolvimento tecno-
lógico, econômico e as liberdades de iniciativa e concorrência.
Como marco da importância da inovação no cenário da

proteção de dados pessoais, autoriza-se que sejam editadas
“normas, orientações e procedimentos simplificados e dife-
renciados para iniciativas empresariais de caráter incremental
ou disruptivo que se autodeclarem startups ou empresas de
inovação” (art. 55-J, XVIII, da LGPD).
Através da Resolução CD nº 02/22, a ANPD regulamen-

tou a aplicação da LGPD para os agentes de pequeno porte,
dentre os quais se incluem as startups. Dentre os pontos rele-
vantes da regulamentação, destaca-se a possibilidade de dis-
pensa da indicação do Encarregado de Dados (art. 11) e de ela-
boração simplificada do registro das atividades de tratamento e
da comunicação de incidentes de segurança (art. 9º e 10).
Com isso, vê-se que o tratamento às startups no con-

texto da proteção de dados pessoais, trazido pela LGPD e
regulamentado pela Resolução CD nº 02/22, está de acordo
com o arcabouço geral de favorecimento normativo previstos
em nível constitucional e legal, atuando como um estímulo às
atividades inovadoras11.
Não é pretensão deste artigo fazer um juízo de valor quanto à

11
Regulamentação da ANPD sobre os agentes de pequeno porte. Aqui, destaca-

se apenas que a sua concepção original de flexibilização de obrigações está
compatível com a estrutura normativa relacionada à inovação e às startups.
321
Por outro lado, na mesma Resolução, a ANPD reconhece

que o uso de tecnologias emergentes ou inovadoras é um fator
de alto risco em relação ao tratamento de dados pessoais (art. 4º,
II, a). Esta postura de cautela frente às tecnologias emergentes ou
inovadoras vem lastreada em posicionamentos europeus sobre o
tema, que defendem que a utilização de tais tecnologias pode en-
volver novas formas de coleta e uso de dados pessoais, bem como
acarretar consequências individuais e sociais desconhecidas12.
A despeito disso, entende-se que a utilização de tecnologias

emergentes ou inovadoras no tratamento de dados pessoais não
deveria, por si só, ser necessariamente classificada como um fator
de risco, considerando que esta postura pode acabar por punir e
desincentivar desproporcionalmente a inovação, contrariando o
regime jurídico de favorecimento às startups e à inovação13.
Assim, vê-se que há um dilema na estrutura normativa

da proteção de dados no Brasil: de um lado incentiva-se a
inovação, garantindo-se, inclusive, um regime diferenciado
para startups. Por outro lado, o uso de soluções inovadoras
é visto como um fator de risco à privacidade, o que atrai a
necessidade de uma maior cautela e esforço de adequação à
LGPD14, por parte daqueles que as desenvolvem e exploram,
12
ARTICLE 29 DATA PROTECTION WORKING PARTY. Guidelines
on Data Protection Impact Assessment (DPIA) and determining whether
processing is “likely to result in a high risk” for the purposes of Regula-
tion 2016/679. Disponível em: https://ec.europa.eu/newsroom/article29/
items/611236 Acesso em jul./2022. Pág. 10.
13
Entende-se, em primeiro lugar, que a tecnologia pode até ser emergente e
inovadora, mas não operacionalizar um tratamento de dados pessoais particu-
larmente arriscado. O caráter incremental ou disruptivo de uma determinada
solução inovadora pode não estar associado a um risco à proteção de dados
pessoais. Também, é preciso ter cautela na definição jurídica de “tecnologias
emergentes ou inovadoras”. A melhor abordagem deve ser tecnologicamente
neutra, de modo a evitar a sua obsolescência com o desenvolvimento de no-
vas tecnologias, e associar-se a níveis de maturidade tecnológicas, para que
não se inclua, neste conceito, tecnologias triviais e de mercado.
14
Entende-se que as organizações devem modular o seu nível de com-
322
bem como pode dificultar a intenção dos legisladores de pro-

mover - e não burocratizar excessivamente - a inovação.
É necessário, para as startups, garantir que seus pro-

dutos e serviços estejam de acordo com os ditames legais de
forma a gerar confiança entre seus clientes e investidores e a
minimizar eventuais riscos decorrentes de sua atividade ino-
vadora, o que pode ser instrumentalizado através da elabora-
ção de RIPD, como se verá adiante.
IV. RELATÓRIO DE IMPACTO À PROTEÇÃO DE

DADOS PESSOAIS: UM INSTRUMENTO DE AC-
COUNTABILITY
a) Conceito, função e importância do RIPD para as startups
Sob a ótica da LGPD, as atividades de tratamentos de-

vem respeitar o princípio da responsabilização e prestação de
contas, ou accountability, segundo o qual é dever do agente
de tratamento demonstrar a adoção e a eficácia de medidas
capazes de comprovar a observância e o cumprimento das
normas de proteção de dados pessoais (art. 6º, X).
De acordo com o Information Comissioner’s Office - ICO,

a autoridade de proteção de dados britânica, a accountability
não é um mero exercício de “cara-crachá”. Para agir de maneira
responsável é necessário ser proativo e estruturado quanto
à abordagem em relação à proteção de dados pessoais, assim
como, para demonstrar o compliance, é necessário ser capaz de
gerar evidências dos passos tomados para alcançá-lo15.
pliance com leis de privacidade de acordo com o nível de risco das suas
atividades de tratamento de dados pessoais aos direitos e liberdades fun-
damentais dos titulares. Sobre isso, veja-se: CENTRE FOR INFORMA-
TION POLICY LEADERSHIP. Op cit. Pág. 3.
323
A materialização do princípio da responsabilização e

prestação de contas é refletida em alguns deveres legais atri-
buídos aos agentes, dentre os quais se destaca a elaboração de
RIPD, que consiste em uma medida de prevenção voltada a
identificar e minimizar riscos aos titulares16.
Pela LGPD, o RIPD é a “documentação do controla-

dor que contém a descrição dos processos de tratamento de
dados pessoais que podem gerar riscos às liberdades civis e
aos direitos fundamentais, bem como medidas, salvaguardas
e mecanismos de mitigação de risco17” (art. 5º, XVII).
Com efeito, se elaborado de maneira adequada, o

RIPD pode servir a dupla função de, ao passo que se avalia
de que forma se adequar às exigências da regulação de pro-
teção de dados pessoais, funciona, ainda, como uma evidên-
cia documental do processo decisório de uma organização e
das ações implementadas18.
No ambiente das startups, a condução de um RIPD

pode ser importante para salvaguardar os seus negócios e
estabelecer a privacidade como um diferencial de merca-
do. O RIPD, a partir da análise concreta de riscos à priva-
15
INFORMATION COMMISSIONER’S OFFICE. Data protection impact
assessments. Disponível em: ico.org.uk/for-organisations/guide-to-data-pro-
tection/guide-to-the-general-data-protection-regulation-gdpr/accountabili-
ty-and-governance/data-protection-impact-assessments/ Acesso em jul./2022
16
CONSELHO DA JUSTIÇA FEDERAL. IX Jornada de Direito Civil.
Disponível em: cjf.jus.br/cjf/corregedoria-da-justica-federal/centro-de-
-estudos-judiciarios-1/publicacoes-1/jornadas-cej/enunciados-aprovados-
-2022-vf.pdf Acesso em: jul./2022. Pág.44 e 45.
17
BRASIL. Lei nº 13.709 de 2018. Brasília, DF: Senado Federal: Centro Gráfico, 2018.
18
INFORMATION COMMISSIONER’S OFFICE. Op cit.
324
cidade existentes em uma solução inovadora examinada,

pode estabelecer um roadmap de implementação de me-
didas efetivas e específicas voltadas à mitigação destes
riscos e à conformidade com a LGPD, de forma a gerar
confiança entre clientes e investidores da startup e a evitar
danos aos titulares.
a. Motivos que ensejam a elaboração de um RIPD
Atualmente, o cenário nacional convive com incertezas

quanto aos casos em que é obrigatória a elaboração de um
RIPD, já que nem a LGPD e nem a ANPD definiram um rol
expresso a esse respeito.
De outro turno, é preciso destacar que, no Regulamento

CD nº 02/22, a ANPD trouxe algumas hipóteses de tratamen-
tos que considera de “alto risco”, dentre as quais encontra-se
o uso de tecnologias emergentes ou inovadoras. O Regula-
mento não se refere especificamente ao RIPD, mas sim aos
casos em que um agente de tratamento de pequeno porte não
pode se beneficiar de um regime diferenciado. De toda forma,
o rol apresentado serve como referência sobre o entendimen-
to da ANPD com relação ao “alto risco”:
Art. 4º [...] será considerado de alto risco o trata-

mento de dados pessoais que atender cumulativa-
mente a pelo menos um critério geral e um critério
específico, dentre os a seguir indicados:
I - critérios gerais: a) tratamento de dados pessoais

em larga escala; ou b) tratamento de dados pessoais
que possa afetar significativamente interesses e di-
reitos fundamentais dos titulares;
325
II - critérios específicos: a) uso de tecnologias

emergentes ou inovadoras; b) vigilância ou con-
trole de zonas acessíveis ao público; c) decisões
tomadas unicamente com base em tratamento au-
tomatizado de dados pessoais, inclusive aquelas
destinadas a definir o perfil pessoal, profissional, de
saúde, de consumo e de crédito ou os aspectos da
personalidade do titular; ou d) utilização de dados
pessoais sensíveis ou de dados pessoais de crianças,
de adolescentes e de idosos.
Os critérios trazidos pela ANPD, embora ainda não

suficientemente detalhados, estão em linha com os entendi-
mentos do Grupo de Trabalho do Artigo 29, que, por sua vez,
fundamentam de forma robusta as hipóteses em deve elaborar
um DPIA19, documento equivalente ao RIPD.
Com isso, às startups recomenda-se uma postura

proativa na definição interna de quais casos ensejam a ela-
boração de RIPD, buscando combinar os ainda escassos
direcionamentos da ANPD com a experiência europeia e
internacional sobre o tema.
Em especial, startups voltadas aos setores da saúde

(heathtechs) e financeiro (fintechs) - as quais normalmente
lidam com grande quantidade de dados sensíveis ou “alta-
mente pessoais” - bem como àquelas que atuam na publi-
cidade (adtech) - que buscam entender detalhadamente o
perfil e hábitos dos titulares para fins comerciais - devem
considerar a elaboração de um RIPD para avaliar a confor-
midade de sua operação.
19
ARTICLE 29 DATA PROTECTION WORKING PARTY. Op cit. Págs. 9 a 11.
326
b. Conteúdo do RIPD
A LGPD estabelece o conteúdo mínimo que deve estar

contemplado por um RIPD (art. 38, Parágrafo Único), o qual
se apresenta a seguir:
b.1. Descrição dos tipos de dados coletados.
Em primeiro lugar, é necessário proceder com “a des-

crição dos tipos de dados coletados”. É que há categorias de
dados que merecem uma especial proteção, como é o caso dos
dados sensíveis e dos dados “altamente pessoais”. A identi-
ficação de quais informações envolvidas em um determina-
do tratamento é essencial para se ter uma clara visibilidade
quanto aos riscos envolvidos.
No mais, nesta fase, convém avaliar demais informações

necessárias para representar o escopo do tratamento, como o
volume de dados a ser coletado, a frequência e extensão geo-
gráfica do tratamento, a quantidade de titulares envolvidos20.
b.2. Metodologia utilizada para a coleta de dados e para a

garantia da segurança das informações.
O RIPD deve contemplar “a metodologia utilizada

para a coleta de dados e para a garantia da segurança das
informações”, de acordo com a LGPD.
Por sua vez, entende-se que convém descrever não ape-

nas a metodologia da coleta, mas também de todo o ciclo
INFORMATION COMMISSIONER’S OFFICE. Op cit.

20
327
de vida do dado pessoal, até a sua eliminação, bem como a

forma de manutenção de segurança ao longo de todo este pro-
cesso. Assim, deve-se mapear eventuais compartilhamentos
de dados, transferências internacionais, locais de armazena-
mento e formas de descarte utilizadas.
É preciso considerar a descrição de todo o contexto que

envolve o tratamento, o que significa descrever a natureza
da relação da organização com o titular, as expectativas e o
controle do titular a respeito do tratamento etc. Também, a
definição das finalidades, base legal de tratamento, benefícios
e impactos esperados aos titulares deve ser descrita.
De maneira geral, o objetivo desta etapa é ter um en-

tendimento inicial sobre como o dado pessoal será tratado
através de uma solução inovadora. Ao descrever o que se faz,
é comum perceber gaps na segurança, nas políticas internas
da organização e no “manejo’’ dos dados pessoais.
Para tanto, pode ser necessário consultar diferentes

stakeholders, de dentro e de fora da organização, para com-
preender os aspectos técnicos envolvidos nas atividades des-
critas e de que forma os diferentes elementos do tratamento
em análise irão se “encaixar” na sua operacionalização, in-
clusive as diferentes áreas e departamentos da organização21.
DATA PROTECTION COMMISSION. Data Protection Impact Asses-

21
sments. Disponível em: https://www.dataprotection.ie/en/organisations/

know-your-obligations/data-protection-impact-assessments#identifying-
-data-protection-and-related-risks Acesso em jul./2022.
328
b.3. Análise do controlador com relação a medidas, salva-

guardas e mecanismos de mitigação de risco adotados
Como visto, o RIPD é um instrumento que busca lidar com

os riscos às liberdades individuais e aos direitos fundamentais.
Nesse sentido, é preciso que seja realizada uma gestão completa
de tais riscos, seguindo metodologia adequada, o que inclui as fa-
ses de identificação, análise e avaliação e tratamento dos riscos22.
Na fase de identificação, os riscos devem ser reconheci-

dos e devidamente descritos no RIPD, a partir de uma análise
criteriosa das informações sobre o fluxo de dados previamen-
te descrito23. Em seguida, deve-se conduzir a análise dos ris-
cos, com o objetivo de “colocar na mesa” a probabilidade e o
impacto da ocorrência de cada risco. Para tanto, é necessário
definir em que circunstâncias um evento de riscos pode se
concretizar e qual é o grau de comprometimento dos titulares,
seja material ou moral, caso este se concretize.
Já na avaliação dos riscos, compara-se o nível de riscos

identificado com o “apetite de riscos” da organização, para sub-
sidiar a tomada de decisão sobre a adoção de medidas de mitiga-
ção. Riscos que estejam acima deste apetite de risco deverão ser
22
Utilizou-se como referência a metodologia de gestão de riscos do TCU.
Sobre isso, veja-se: TRIBUNAL DE CONTAS DA UNIÃO.Manual de
gestão de riscos do TCU, Brasília: TCU, Secretaria de Planejamento, Go-
vernança e Gestão (Seplan), 2020. Disponível em: https://portal.tcu.gov.
br/planejamento-governanca-e-gestao/gestao-de-riscos/manual-de-ges-
tao-de-riscos/ Acesso em jul.2022.
23
Ressalte-se que os riscos a serem mapeados não dizem respeito direta-
mente à organização, mas sim aos titulares de dados envolvidos. Sobre
isso: CONSELHO DA JUSTIÇA FEDERAL. Op Cit. Pág.44 e 45.
329
prevenidos ou atenuados, através da implementação de medidas

e salvaguardas adequadas, ao passo que aqueles riscos que este-
jam abaixo do limite admitido devem ser aceitos pela organiza-
ção. Startups, por atuarem em ambientes de extrema incerteza,
tendencialmente possuem um maior apetite a riscos, pelo que é
preciso que autoridades compreendam este contexto quando da
fiscalização de sua conformidade com a LGPD.
Ainda, deve ser conduzida a fase de tratamento dos

riscos, com o objetivo de modificar o nível de risco identi-
ficado, através do planejamento e realização de ações. Para
esta fase, é aconselhável identificar as causas e consequên-
cias dos riscos; registrar possíveis medidas de resposta ao
risco; avaliar a viabilidade de implantação das medidas; e,
por fim, registrar no RIPD um plano com as medidas que
serão implementadas24.
c. Monitorando a implementação do RIPD
Embora o RIPD seja um documento escrito, a sua con-

cretização também envolve atividades que vão “além do pa-
pel”. Assim, é essencial que haja a continuidade do processo
de gestão de riscos mesmo após a finalização da redação do
RIPD, através da fase de monitoramento.
Dentre as medidas comumente adotadas, destacam-se a capacitação do

24
pessoal, o estabelecimento de acordos de confidencialidade, a anonimi-

zação de dados etc. Sobre isso veja-se: AGENCIA DE ACCESO A LA
INFORMACIÓN PÚBLICA; UNIDAD REGULADORA Y DE CON-
TROL DE DATOS PERSONALES. Guía de Evaluación de Impacto en la
Protección de Datos. Disponível em: https://www.argentina.gob.ar/sites/
default/files/guia_final.pdf Acesso em jul.2022. Pág. 25 e 26.
330
Destaca-se que o monitoramento da implementação do

RIPD é especialmente importante no cenário brasileiro. No
contexto europeu, deve-se consultar previamente a autoridade
competente sempre que um DPIA indicar que o tratamento re-
sultaria em alto risco na ausência de medidas tomadas para mi-
tigá-lo, o que acaba por “transferir” parte da responsabilidade
para este órgão. A LGPD não traz expressamente esta previsão,
pelo que é reforçada a responsabilidade de os agentes atuarem
na contínua avaliação da conformidade de suas atividades com
o direito à proteção de dados pessoais.
Dessa forma, a implementação das medidas e salva-

guardas para mitigação de riscos deve ser devidamente acom-
panhada nas organizações:
“Los resultados de la EIPD deben incorporarse en la

gestión del proyecto o en la gestión habitual de las ac-
tividades de la organización que hayan sido objeto de
análisis. Como es evidente, esto debe realizarse a través
del establecimiento de objetivos y plazos razonables, así
como de capacitaciones del personal involucrado.25”
Por isso, enquanto um plano estruturado de mitigação de

riscos, as organizações devem supervisionar a execução do RIPD
para assegurar a implementação e efetividade das medidas que fo-
ram fixadas na mitigação dos riscos. Nesse cenário, a existência de
um Encarregado de Dados na organização pode facilitar uma aná-
lise técnica e dedicada do processo de implementação do RIPD26.
Também é preciso ficar atento a uma alteração no escopo

do tratamento ou a outros fatores, internos e externos, que pos-
25
Agencia de acceso a la información pública; unidad reguladora y de control de
datos personales. Op cit. Pág. 27.
26
Centre for information policy leadership. Op cit. Pág. 8.
331
sam acarretar o aumento ou a diminuição dos níveis de risco, ou

mesmo fazer surgir novos riscos não identificados inicialmente.
Este caso é especialmente relevante no contexto das startups,
que “pivotam” e mudam seu modelo de atuação constantemente
e, por isso, devem dispensar especial atenção a esta etapa.
Assim, após a sua elaboração inicial, o RIPD deve ser

mantido em constante revisão para que, sempre que a ativida-
de for modificada substancialmente, avalie-se se necessidade
de sua atualização para contemplar esta nova situação27.
V. CONCLUSÃO
Inovadoras por essência, as startups possuem regra-

mento próprio no direito brasileiro, sendo sua constituição e
atividades incentivadas por lei. De forma análoga, a LGPD
reconhece a sua importância, possibilitando, inclusive, a atri-
buição de um regime simplificado de cumprimento da lei.
Entretanto, em nível infralegal, considera-se que a uti-

lização de novas tecnologias no tratamento de dados pessoais
pode gerar riscos relevantes para os seus titulares. A concretiza-
ção destes riscos, além de causar danos, também pode acarretar
uma “quebra” de confiança dos titulares e da sociedade - ativo
muito importante no atual cenário de transformação digital.
É nesse contexto que surge a relevância do RIPD como

forma de “proteger” a atividade inovadora e gerenciar riscos à
privacidade. Este instrumento, a um só tempo, fixa medidas para
27
Agencia de acceso a la información pública; unidad reguladora y de control de
datos personales. Op cit. Pág. 27
332
a mitigação de riscos e gera evidências documentais de que as

startups empenham esforços na proteção dos direitos e liberdades
fundamentais. Assim, o RIPD deve ser conduzido de forma estru-
turada e proativa por startups, através de metodologia que leve em
consideração todas as fases da gestão de riscos, e sua implemen-
tação precisa ser devidamente monitorada dentro da organização.
É através do RIPD que inovação e privacidade, valores

igualmente importantes, podem se compatibilizar para o for-
talecimento da confiança na sociedade e para a promoção res-
ponsável de soluções tecnológicas emergentes.
VI. REFERÊNCIAS
CENTRE FOR INFORMATION POLICY LEADERSHIP. Risk,

High Risk, Risk Assessments and Data Protection Impact Assess-
ments under the GDPR. Disponível em: .informationpolicycentre.
com/uploads/5/7/1/0/57104281/cipl_gdpr_project_risk_white_
paper_21_december_2016.pdf . Acesso em jul./2022.
CONSELHO DA JUSTIÇA FEDERAL. IX Jornada de Di-

reito Civil: Enunciados Aprovados. Disponível em: cjf.jus.
br/cjf/corregedoria-da-justica-federal/centro-de-estudos-ju-
diciarios-1/publicacoes-1/jornadas-cej/enunciados-aprova-
dos-2022-vf.pdf Acesso em: jul./2022.
MARTIN, N., MATT, C., NIEBEL, C. et al. How Data Protection

Regulation Affects Startup Innovation. Inf Syst Front 21, 1307–
1324. Disponível em: doi.org/10.1007/s10796-019-09974-2
OECD. Guidelines on the Protection of Privacy and Transborder

Flows of Personal Data. Disponível em: oecd.org/sti/ieconomy/
oecdguidelinesontheprotectionofprivacyandtransborderflowsof-
personaldata.htm#background Acesso em jul./2022.
333
AUDITORIA INTERNA: UMA FUNÇÃO DO

ENCARREGADO PELO TRATAMENTO DE
DADOS PESSOAIS?
Hélio André Medeiros Batista1
I. INTRODUÇÃO
O tema foi abordado a fim de avaliar se o encarre-

gado pelo tratamento de dados pessoais deve exercer, além
do previsto na Lei Geral de Proteção de Dados Pessoais
(LGPD), a função de auditor interno, como complemento a
ser determinado pelo controlador, ou, alternativamente, por
norma complementar a ser definida pela Autoridade Nacio-
nal de Proteção de Dados (ANPD). Para isso, é preciso que
o papel da auditoria interna e dos encarregados de tratamen-
to de dados pessoais sejam vistos de forma harmônica, em
uma perspectiva de melhoria contínua, para salvaguardar
e acrescentar valor às organizações, elevando os níveis de
confiança de sua atuação no mercado.
A LGPD é uma realidade vigente no Brasil desde
setembro de 2020, o que trouxe inúmeras preocupações às
organizações, sejam elas privadas ou públicas. Tais orga-
nizações procuram, da melhor forma, adaptar-se às novas
obrigações impostas pela legislação e aos novos riscos dela
decorrentes, bem como, por consequência, das profundas
alterações que implicam no sistema de controle interno das
mesmas, assim como os novos desafios que trazem à audi-
toria interna (BRASIL, 2018).
334
O descumprimento da LGPD tem reflexo não só a ní-

vel financeiro, mas também reputacional, o que, por conse-
quência, impacta na confiabilidade da organização perante
o mercado. As empresas que passaram pela fase inicial de
adaptação e implementação de práticas que buscam o cum-
primento dos requisitos da LGPD e controles para mitigação
dos riscos decorrentes deste quadro regulamentar, devem se
colocar num desafio de análise se as medidas implementa-
das permitem efetivamente corresponder aos objetivos e se
as mesmas são as mais adequadas à realidade atual e à dinâ-
mica própria de cada empresa, sendo adequado que o papel
da auditoria interna seja uma atribuição complementar por
parte do Encarregado pelo Tratamento de Dados Pessoais no
âmbito das suas funções, para dar a sua melhor contribuição
para a melhoria contínua. Mas qual o papel da Auditoria In-
terna na aplicação e observância dos requisitos da LGPD? E
qual efetivamente o papel do Encarregado pelo Tratamento
de Dados Pessoais como possível responsável também pela
Auditoria Interna, na condição de atribuição complementar
a ser determinada pelo Controlador, bem como, eventual-
mente, por norma complementar da Autoridade Nacional
de Proteção de Dados? São algumas das questões que se
colocam às Organizações (BRASIL, 2018).
Este artigo tem como objeto a análise do papel da
Auditoria Interna como atribuição complementar e impor-
tante do Encarregado de Tratamento de Dados Pessoais em
face de determinação necessária a ser feita pelo Controla-
dor, bem como mediante previsão em normal complementar
a ser definida pela Autoridade Nacional de Proteção de Da-
dos. Neste sentido, foi definido como objetivo do presente
trabalho a clarificação do papel da Auditoria Interna como
importante na atribuição do Encarregado pelo Tratamento
dos Dados Pessoais.
335
II. A AUDITORIA INTERNA: CONCEITO E EVOLUÇÃO
No decorrer das últimas décadas, empresas dos mais di-

versos tamanhos e segmentos começaram a recorrer aos servi-
ços de outras empresas para a realização de auditorias externas
independentes e assim assegurar aos seus acionistas e investi-
dores que os balanços apresentados pelos gestores resultantes
da sua atividade empresarial (industrial/comercial) refletiam
fielmente a situação financeira das respectivas Organizações.
Os auditores externos, enquanto profissionais que ava-
liavam as contas das empresas, necessitavam ter acesso à docu-
mentação, às transações realizadas e às respectivas contas. Para
efeito de apresentação das contas, documentos e comunicação
com os profissionais externos, eram nomeados colaboradores
das próprias empresas, que pela sua interação com os auditores
externos, foram adquirindo experiência e conhecimento sobre
o trabalho que estes profissionais desenvolviam. As empresas
naturalmente perceberam que, ao potencializarem o desenvol-
vimento desses conhecimentos adquiridos por esses colabora-
dores externos, poderiam eles próprios realizar, ao menos em
parte, os serviços que eram assegurados pelos auditores exter-
nos, contribuindo para a redução de custos para melhoramento
do controle das contas das empresas (RANGEL, 2016).
Por outro lado, com o alargamento dos mercados inter-
nacionais e a dispersão dos processos produtivos, os gestores
das empresas perceberam que as avaliações anuais realizadas
pela auditoria externa não eram suficientes. De igual forma,
a impossibilidade de supervisionar todas as atividades veio
realçar a necessidade de as empresas implementarem normas e
procedimentos internos no sentido de ser assegurado o desem-
penho que de nada serviriam se não houvesse um nível interno
336
de acompanhamento e verificação sobre a sua aplicação prática

por parte dos colaboradores da empresa (RANGEL, 2016).
Pode-se dizer que nascia assim a função de auditor

interno. Ou seja, um grupo de colaboradores de confiança
da gestão, por serem colaboradores da própria empresa que
exerciam funções anteriormente realizadas pelos auditores
externos, foram denominados como auditores internos.
Com a evolução do mundo empresarial e o crescimento/
desenvolvimento das empresas, os auditores internos passaram a
abarcar algo mais abrangente que não se resume à salvaguarda dos
ativos ou à detecção de fraudes. Os auditores internos deixaram
de ser meros inspetores que, no início, eram subordinados à área
da contabilidade, mas posteriormente passaram a desempenhar
funções de controle administrativo, cujo objetivo consistia em
medir e avaliar a eficácia dos fluxos operacionais e aferir sobre a
efetiva aplicação dos controles internos em geral, conquistando
um papel de assessoria e apoio à gestão das organizações,
contribuindo, dessa forma, para uma maior confiança da função.
II.1 O FUTURO DA AUDITORIA INTERNA É HOJE
Não é de hoje que os auditores internos consideram

no âmbito dos seus trabalhos e preocupações os riscos as-
sociados às novas tecnologias de informação. Acrescente-se
a isso a utilização do correio eletrônico e das redes sociais
como meio preferencial de comunicação e de desenvolvi-
mento do negócio, nomeadamente os negócios on-line que
vieram potencializar os riscos relacionados com a segurança
da informação e com a proteção dos dados, razão pela qual os
337
auditores internos viram uma necessidade a mais de se pre-

pararem para os novos desafios e munir-se de competências
e ferramentas que lhes permitissem dar resposta e, se pos-
sível, antecipar-se às novas necessidades deste mundo cada
vez mais informatizado dominado pelo digital e de tecnolo-
gias avançadas (OLIVEIRA, 2013). No sentido de potenciar
a criação de valor para as Organizações, a Auditoria Interna e
os seus responsáveis devem atuar de modo a:
• Desenvolver competências sólidas e orientadas para
as necessidades do negócio e evolução do mercado;
• Coordenar-se com as funções de gestão de risco
corporativo;
• Ter em consideração os riscos potenciais, emergen-
tes nas atividades de Auditoria Interna;
• Prestar um serviço distinto da auditoria de confor-
midade (associada apenas à verificação).
Assim, a Auditoria Interna tem de estar preparada,
cada vez mais, para realizar auditorias de ampla diversidade
e complexidade pondo à prova a sua capacidade de adap-
tação a novas e inesperadas circunstâncias, a exemplo do
caso recente e ainda presente da pandemia do Covid-19, um
acontecimento de escala global que veio desafiar ainda mais
as Organizações que de um dia para o outro se viram expos-
tas às suas fragilidades, mas também novas oportunidades
de negócios para se reinventarem (RAMAMOORTI, 2003).
Apesar das contingências, o mundo continuou a girar
e as Organizações se adaptaram à nova realidade da melhor
forma que conseguiram, em grande parte, graças às novas
tecnologias, realidade essa que teve também impacto na fun-
ção de Auditoria Interna e que implicou de algum modo a
sua reorganização e mudança, no tocante especificamente aos
338
métodos de trabalho. O recurso ao teletrabalho, por exemplo,

tornou-se essencial por meio do reforço da utilização de
ferramentas de data analytics assim como a utilização de pla-
taformas digitais (Teams, Zoom, entre outras) que passaram
a substituir as tradicionais salas de reunião e/ou fóruns, as
quais permitiram aos auditores prosseguir com a sua ativida-
de e continuar a criar valor para as Organizações. O presente
é o futuro e o futuro já é hoje para as Organizações e para a
Auditoria Interna (RAMAMOORTI, 2003).
II.2. O MODELO DAS TRÊS LINHAS DE DEFESA
O Modelo das três linhas de defesa surgiu com a pu-

blicação em 21 de setembro de 2010, pelas FERMA (Fede-
ration of European Risk Management Associations) e ECIIA
(European Conference of Institute of Internal Auditors) na
8th Company Law Directive e foi desde então recomendado
pelo IIA (The Internal Institute of Auditors).
Este modelo de gestão de risco foi o referenciado pelo
IIA é um dos melhores recebidos nas Organizações, por ser
considerado um modelo que de forma simples e eficaz con-
tribui para melhorar a comunicação da gestão de riscos e con-
trole, destacando-se como fator chave a sua transparência, re-
lativa às responsabilidades atribuídas a cada uma das partes
interessadas na condução dos negócios da Organização, algo
que se revela essencial para evitar lacunas, interpretações de-
sajustadas e/ou situações de indefinição.
Neste modelo, a terceira linha de Defesa é assegurada
pela Auditoria Interna, pelo seu papel nas Organizações, de
independência e objetividade, o que lhe permite fazer julga-
339
mentos mais fidedignos e isentos sobre a eficácia da gover-

nança, relativamente à gestão do risco e do controle interno.
II.2.1. FUNÇÕES CHAVE DA AUDITORIA INTERNA
Sob o ponto de vista de distribuição de responsabilida-

des, de acordo com da Terceira Linha de Defesa, a Auditoria
Interna deve possuir as funções de alto nível que contribuem
para o seu fortalecimento, conforme descrito no Quadro 1.
Quadro 1. Funções Chave da Auditoria Interna.
Funções Chave
Manter a responsabilidade principal perante o
órgão de governança e, simultaneamente, a in-
dependência das responsabilidades da gestão.
Confiança na independência e na objetividade, bem

como prestar aconselhamento à gestão e ao órgão
Auditoria Interna de governança quanto à adequação e eficácia do
governo e da gestão de risco (incluindo o controle
interno) no apoio à concretização dos objetivos.
Reportar faltas de independência e objetividade

aos órgãos de governança e inclusão de salva-
guardas quando necessário.
Fonte: Diogo (2021).
340
II.3. PROTEÇÃO DE DADOS: CONCEITO E EVOLU-

ÇÃO NO BRASIL
No Brasil temos a Lei Geral de Proteção de Dados —

que, apesar de ter entrado em vigor apenas em setembro de 2020,
já vem influenciando mudanças significativas na forma com que
as empresas coletam e tratam dados nos últimos 22 (vinte e dois)
meses. O direito à privacidade também já havia sido estabeleci-
do pelo Artigo 5º da Constituição Federal brasileira e pelo Códi-
go de Proteção ao Consumidor, instituído em 1990.
Outra importante legislação sobre o tema no país é

o Marco Civil da Internet (Lei n° 12.965), sancionado em
2014. Voltada inteiramente para o uso da internet no país, o
Marco Civil traz princípios, garantias, direitos e deveres dos
usuários da rede, além de diretrizes sobre como o Estado deve
atuar. Ao lado da privacidade, alguns dos outros principais
temas abordados são neutralidade da rede, retenção de dados
e funções sociais da internet, como liberdade de expressão,
transmissão de conhecimento e responsabilidade civil.
Mais recentemente, especificamente no mês de feve-

reiro de 2022, a Emenda Constitucional nº 115 foi promulgada
inserindo o direito à proteção de dados pessoais no rol de direi-
tos e garantias fundamentais ao cidadão, de modo a promover
a sua dignidade humana, além de ter fixado a competência da
União para legislar sobre proteção e tratamento de dados pes-
soais, o que permite uma maior segurança jurídica ao país na
aplicação da Lei Geral de Proteção de Dados Pessoais.
341
II.4. O QUADRO DA LGPD E O SEU IMPACTO NAS

ORGANIZAÇÕES
Pode-se dizer que o novo quadro da LGPD resultou

da necessidade de uniformização dos direitos sobre proteção
de dados no Brasil. Este novo quadro regulamentar de legal
de proteção de dados pretende salvaguardar os direitos e ga-
rantias dos titulares dos dados, num contexto atual, altamente
tecnológico e de modelos de negócios, estabelecendo regras
de atuação, no sentido de proteger a qualidade, legitimidade
e segurança dos dados, face às crescentes ameaças à priva-
cidade, resultantes deste mundo digital, mas sobretudo pelo
reconhecimento desta natureza de dados, como um ativo da
máxima relevância para as Organizações.
A consciência de que a informação obtida através do
tratamento dos dados pessoais é um bem, com um forte poder e
consequências a nível econômico e reputacional. A privacida-
de, numa sociedade digital, facilmente se encontra ameaçada
se não forem avaliados os riscos e tomadas medidas para a sua
mitigação, assim como a necessária validação da efetividade
dos controles existentes, circunstância que veio trazer aos au-
ditores internos uma nova área de atuação, com novos desafios
e novas oportunidades de proteção e criação de valor para as
Organizações, sempre numa lógica de desenvolvimento e de
melhoria contínua.
Nesse sentido, há que perceber o impacto da LGPD nas
Organizações, especialmente quanto a dinâmica de relaciona-
mento com os clientes, colaboradores e na relação com outros
parceiros, sendo essencial a consciencialização da gestão de
topo sobre a sua transversalidade, assim como da necessidade
de adoção de novas práticas e métricas de compliance.
342
Será necessário elaborar um plano de comunicação

interno e externo, face à abrangência desta regulamentação/
legislação. Sendo que o plano interno deverá focar-se no es-
clarecimento e sensibilização dos colaboradores para os pro-
cedimentos a serem adotados para o cumprimento da LGPD.
Enquanto que o plano de comunicação externo deverá ter
como principal objetivo gerar confiança nos clientes quanto à
utilização adequada dos seus dados pessoais.
É essencial avaliar a necessidade de designar
um Encarregado pelo Tratamento dos Dados Pessoais,
sendo que não é obrigatório para todas as empresas,
especialmente aos agentes de tratamento de pequeno porte,
assim designados pela Resolução CD/ANPD nº 2, de 27
de janeiro de 2022. Nos casos em que seja obrigatória a
nomeação de um Encarregado pelo Tratamento dos Dados
Pessoais/DPO (Data Protection Officer) será necessário
conhecer bem as atribuições inerentes à função, de modo a
ser selecionado o perfil mais adequado.
De igual forma, será essencial proceder ao levanta-
mento das necessidades de adaptação dos processos aos re-
quisitos do LGPD e promover a realização de Auditoria In-
terna no sentido de avaliar o impacto operacional da referida
legislação em cada área da Organização.
Outra necessidade será a de estruturar um plano de
implementação das ações de melhoria e a respectiva opera-
cionalização nas diferentes áreas da Organização, de modo a
buscar a conformidade com os requisitos da lei.
Outro aspeto essencial a garantir será a formação so-
bre a segurança e privacidade de dados pessoais a todos os
colaboradores que têm contato com os dados pessoais.
343
Será igualmente necessária a atualização das políticas

de segurança e privacidade e de utilização de cookies, assim
como a revisão de procedimentos, de contratos e outros docu-
mentos de forma a cumprir aos requisitos da LGPD.
A adaptação do processo de tratamento de dados
com a implementação dos conceitos de “privacy by design”
e “privacy by default” também é algo a ser implementado,
sendo esses conceitos que remetem para a obrigatoriedade
de obtenção de consentimento prévio para a utilização dos
dados pessoais.
O inventário de dados pessoais tratados pela Organização
também é necessário, de modo a identificar os dados pessoais exis-
tentes, os tipos de dados, as finalidades do seu tratamento, os locais
onde se encontram armazenados, o período de sua utilização, a pes-
soa/entidade responsável e quem tem acesso a'os referidos dados.
Será igualmente necessário listar procedimentos de
tratamento de dados pessoais, identificando as formas de co-
leta e o seu tratamento, assim como o subsídio legal, ou seja,
base legal para o seu tratamento, devendo isso ser documen-
tado, de modo que seja facilmente evidenciável.
Também é necessário implementar ou rever medidas
técnicas e administrativas de proteção e privacidade dos da-
dos, bem como buscar a implementação de processos que
permitam a identificação de incidentes de violação de dados
pessoais, assim como a respectiva comunicação à Autoridade
Nacional de Proteção de Dados.
Preparar o workflow de cumprimento aos direitos
dos titulares e validar se as aplicações informáticas exis-
tentes na Organização para o processamento de dados
se encontram de acordo com os requisitos da LGPD é
344
também fundamental. Caso estejam supridos, também é

importante providenciar a respectiva atualização para sua
conformidade.
Simultaneamente, será essencial buscar a conformi-
dade por parte das entidades subcontratadas integrantes do
ecossistema de relações de tratamento de dados pessoais con-
trolados pela Organização, sendo crucial assegurar que os ter-
mos e condições dessa relação, incluindo as indicações sobre
a forma de tratamento de dados, estejam expressamente pre-
vistas em contrato e/ou em aditivo contratual. Situação simi-
lar colocam-se os fornecedores que processam e/ou armaze-
nam dados pessoais, os quais devem garantir o cumprimento
dos requisitos da LGPD.
As metodologias de trabalho devem incluir, prefe-
rencialmente, dado o seu caráter facultativo previsto pela
LGPD, o relatório do impacto de proteção de dados sem-
pre que se considerem úteis, principalmente em se tratan-
do de situações em que o tratamento dos dados pessoais
tem como base o legítimo interesse.
Será ainda necessário assegurar o monitoramento
contínuo da aplicação do plano, assim como a implementa-
ção de medidas de controle nas várias estruturas organiza-
cionais, sendo essa atribuição a ser assegurada por parte do
Encarregado pelo Tratamento dos Dados Pessoais/DPO.
À Auditoria Interna caberá o papel de validar de
forma independente, objetiva e rigorosa os controles e as
medidas técnicas e administrativas, de modo a avaliar se
ambas são suficientes e efetivas para garantir com razoável
grau de confiança a conformidade com a LGPD e a mitiga-
ção dos riscos associados a este processo.
345
II.5 O ENCARREGADO PELO TRATAMENTO DOS

DADOS PESSOAIS
Pela previsão literal do art. 41, parágrafo segunda, da

LGPD, cabe ao encarregado pelo tratamento de dados pes-
soais aceitar reclamações e comunicações dos titulares, pres-
tar esclarecimentos e adotar providência; receber comunica-
ções da autoridade nacional e adotar providências; orientar
os funcionários e os contratados da entidade a respeito das
práticas a serem tomadas em relação à proteção de dados pes-
soais e executar as demais atribuições determinadas pelo con-
trolador ou estabelecidas em normas complementares.
Conforme acima, pode ser observado que a LGPD pe-
cou ao ser extremamente rasa na figura central da governança,
o Encarregado (Data Protection Officer – DPO), atribuindo-
-lhe expressamente funções que se comparam a de um ouvidor.
Embora a LGPD não apresente detalhes sobre o tema, a
Autoridade Nacional de Proteção de Dados trouxe contribuições
importantes através de um guia publicado em seu site. Segundo
a ANPD, o encarregado pode ser tanto um funcionário da em-
presa quanto um terceiro, inclusive uma pessoa jurídica, mas o
importante é que o indicado possua conhecimento mínimo sobre
o tema, bem como liberdade para exercer as suas atribuições.
Na prática, considerando o custo de contratar uma

pessoa para desempenhar exclusivamente o papel de encar-
regado, o que tem sido visto é a indicação de um colaborador
que passa, então, a acumular funções na organização.
Nesse sentido, torna-se cada vez mais justificável

aliar as atribuições de auditoria interna ao Encarregado pelo
Tratamento dos Dados Pessoais, pois será a pessoa responsá-
vel por mitigar e fiscalizar as iniciativas tomadas.
346
II.6 O PAPEL DA AUDITORIA INTERNA VS O PAPEL

DO ENCARREGADO PELO TRATAMENTO DOS DA-
DOS PESSOAIS
Em um dos mais recentes relatórios emitidos pelo IIA

- OnRisk 2020, é salientada a relevância do papel da Auditoria
Interna, que com a sua independência e objetividade se reafir-
ma como um dos três pilares da gestão de riscos, juntamente
com o conselho e a gestão executiva. Neste mesmo documento
foram identificados como principais riscos, posicionados num
ranking de acordo com a sua relevância atual e futura, a Pro-
teção de Dados é evidente tanto no presente quanto no futuro,
sendo o risco que ocupa a segunda posição, apenas ultrapassa-
do pelo risco relativo à ciber-segurança, o que vem a reforçar
a convicção de que as preocupações com a LGPD estão na
ordem do dia e são de suma importância para as Organizações.
Pode-se dizer que uma auditoria a LGPD consiste num
exame rigoroso, sistemático, independente e objetivo, baseado
em fatos e evidências, das políticas, procedimentos e controles
implementados pelas organizações para mitigação dos riscos
identificados numa lógica de desenvolvimento e de melhoria
contínua, tendo por objetivo a avaliação se os resultados obti-
dos são eficazes e se os mesmos foram implementados em con-
formidade com os requisitos da LGPD da forma mais eficiente.
Não parece ser claro para todas as organizações a exis-
tência desta distinção e segregação de funções, entre quem
deve assegurar que sejam implementadas medidas que ga-
rantam a conformidade com a LGPD e quem as deve auditar.
Cabe à Auditoria Interna, enquanto terceira linha de
defesa, também ao nível do LGPD, realizar as auditorias, de
modo a garantir uma validação independente e objetiva, supor-
tada em evidências da conformidade face aos requisitos legais,
347
mas também a apuração se os controles existentes são efetivos

e suficientes para a mitigação dos riscos. Acrescente-se a isso
que cabe à Auditoria Interna a identificação de oportunidades
de melhoria, funcionando como uma alavanca de otimização
dos processos para contribuir com a confiança das Organiza-
ções e do mercado, afirmando-se como de grande valia.
A Auditoria Interna e o Encarregado pelo Tratamento dos
Dados Pessoais assumem assim, papeis distintos, mas complemen-
tares no que respeita ao sistema de gestão de compliance da LGPD,
estando a função do Encarregado um nível abaixo do da Auditoria
Interna, que vai muito além da conformidade com a LGPD.
A Auditoria Interna terá ao nível da LGPD, um papel
determinante, simultaneamente de parceiro estratégico, que
permitirá não só assegurar o cumprimento dos requisitos le-
gais, mas também de evidenciar esse cumprimento, identifican-
do ainda áreas de melhoria ao nível dos controles, sua eficiên-
cia/eficácia, assim como potenciais novos riscos, permitindo
à gestão tomar decisões estratégicas de forma mais assertiva.
II.7 O PAPEL DA AUDITORIA INTERNA VS O PAPEL

DO ENCARREGADO PELA PROTEÇÃO DE DADOS
O Regulamento Geral de Proteção de Dados, lei de

proteção de dados vigente na União Europeia desde maio de
2018, pode ser considerada uma legislação que causou re-
flexo para o surgimento da LGPD com previsões mais com-
pletas e detalhadas do que a norma brasileira, e não fugindo
a essa regra quando trata do encarregado pelo tratamento de
dados pessoais, ela prevê que são funções do encarregado de
proteção de dados: a) Assegurar a realização de auditorias,
quer periódicas, quer não programadas.
348
Tal previsão também está presente na Lei de Execu-

ção da RGPD vigente especificamente em Portugal, desig-
nadamente na Lei 58/2019, quando afirma que são funções
do EPD, no seu Art.º 11º, alínea a) define como Funções do
Encarregado da Proteção de Dados, para além das previstas
nos Art.ºs 37 e 39.º do RGPD, assegurar a realização de audi-
torias, quer periódicas, quer não programadas.
Nesse sentido, considerando que a LGPD sofreu refle-
xos diretos da RGPD, coerente considerarmos que o controlador
de dados seja recomendado a determinar a atribuição de auditor
interno ao seu encarregado pelo tratamento de dados pessoais,
cabendo o mesmo a ANDP por meio de resolução própria, a
qual, no presente momento (abril de 2022), se encontra em pro-
cesso de abertura de prazo para propostas da sociedade civil.
III. CONSIDERAÇÕES FINAIS
Os desafios para as Organizações são incontáveis, dado

os tempos de grande imprevisibilidade em que tudo acontece
a uma velocidade inimaginável, situação essa evidenciada por
uma pandemia por Covid 19 à escala global, bem como com o
advento de uma crise econômica sem precedentes.
Por outro lado, não é de hoje que os auditores internos
consideram no âmbito dos seus trabalhos e preocupações os
riscos associados às novas tecnologias de informação. A cres-
cente utilização das novas tecnologias de comunicação como
meio preferencial de comunicação e de desenvolvimento do
negócio, nomeadamente os negócio on-line, veio potencializar
os riscos relacionados com a segurança da informação e com
a proteção dos dados pessoais, razão pela qual os auditores in-
ternos viram mais uma necessidade de se prepararem para os
349
novos desafios e munir-se de competências e ferramentas que

lhes permitissem dar resposta, bem como antecipar-se às novas
necessidades deste mundo cada vez mais informatizado, domi-
nado pelo digital e de tecnologias avançadas.
A Auditoria Interna e o Encarregado pelo Tratamento
dos Dados Pessoais assumem papéis distintos, mas complemen-
tares no que respeita ao sistema de gestão de conformidade à
LGPD, cabendo ao auditor interno um papel que vai muito além
da conformidade com a LGPD, sendo um papel determinante
para as Organizações, de parceiro estratégico, cujo olhar
isento e transversal, permitirá não só assegurar e evidenciar o
cumprimento dos requisitos legais, mas sobretudo a criação
de valor, nomeadamente através da identificação de áreas de
melhoria ao nível dos controles e sua eficiência/eficácia, bem
como potenciais novos riscos, possibilitando à gestão tomar
decisões estratégicas de forma mais assertiva e antecipada.
Ainda que o Encarregado pelo Tratamento dos Dados
Pessoais tivesse competências de auditor determinadas pelo
Controlador ou até mesmo por resolução da ANPD, seria pos-
sível buscar a isenção, rigor, independência e objetividade,
necessárias à realização de um exercício de auditoria, mesmo
se quem audita é quem tem, simultaneamente, a responsabili-
dade por garantir a conformidade com o regulamento.
Por outro lado, a atribuição de auditoria interna ao En-
carregado pelo Tratamento de Dados Pessoais em uma Orga-
nização que já tenha departamento de auditoria poderia causar
conflitos de competências, no mínimo. Nesse sentido, adequada
será a subdivisão a auditoria interna da Organização em duas
vertentes, sendo uma delas relacionadas a atividades do Encar-
regado e as demais relacionadas aos outros processos internos,
estando aquele cumulando as atribuições de Encarregado e de
auditor interno na área relacionada ao compliance com a LGPD.
350
Por outro lado, no tocante a necessária autonomia que

o papel do Encarregado pelo Tratamento dos dados Pessoais
se molda, não existe atribuição mais conveniente e aplicável
do que a auditoria interna nas suas atividades.
Dessa forma, para a acurácia dos trabalhos desenvol-
vidos por parte do Encarregado pelo Tratamento dos Dados
Pessoais, em razão do que fora exposto, é recomendável que o
Controlador determine atribuições complementares de Auditoria
Interna ao mesmo, de modo que o trabalho de mitigação de ris-
cos seja um processo perene dentro da Organização. Além disso,
a própria ANPD deve abordar em suas resoluções e/ou normas
complementares a necessidade do Encarregado pelo Tratamento
de Dados Pessoais ter a função de Auditor Interno, de modo a
dar efetividade ao processo constante de mitigação de riscos.
Afinal de contas, entendemos que o processo de traba-
lho do Encarregado pelo Tratamento dos Dados Pessoais é de
constante mitigação de riscos mediante fiscalização perene na
Organização, estando esse fluxo de perenidade em fiscalização
como atividade muito próximo a rotina do auditor interno.
IV. REFERÊNCIAS
BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Ge-

ral de Proteção de Dados Pessoais (LGPD). Diário Oficial
da União, Brasília, DF,14 ago. 2018. Disponível em: <http://
www.planalto.gov.br/ccivil_03/_Ato2015-2018/2018/Lei/
L13709.htm>. Acesso em: 17 mar. 2022.
CHAMBERS, R. F. OnRisk: a guide to understanding, aligning,
and optmizing risk. The Institute of Internal Auditors, 2020. Dis-
351
ponível em: <http://contentz.mkt5790.com/lp/2842/275148/On-

Risk-2020-Report_0.pdf>. Acesso em: 11 fev. 2022.
DIOGO, S. A. O papel da auditoria interna no regime geral
de proteção de dados enquanto terceira linha de defesa. 2021.
Dissertação (Mestrado em Auditoria) – Instituto Politécnico
de Lisboa, Instituto Superior de Contabilidade e Administra-
ção de Lisboa, Lisboa, 2021.
OLIVEIRA, N. M. F. O papel da auditoria interna na monitori-
zação do processo de governação das organizações. 2013. Dis-
sertação (Mestrado em Auditoria) – Instituto Superior de Conta-
bilidade e Administração de Lisboa, Lisboa, 2013.
QUAIS são os seus direitos? SERPRO, [20--]. Disponível
em: <https://www.serpro.gov.br/lgpd/cidadao/quais-sao-os-
-seus-direitos-lgpd>. Acesso em: 19 mar. 2022.
RAMAMOORTI, S. Internal Auditing: history, evolution and prospects.
Florida: The Institute of Internal Auditors Research Foundation, 2003.
RANGEL, A. R. As 3 linhas de Defesa e a cultura de Gestão do
Risco Operacional. Linkedin, 24 ago. 2016. Disponível em: <ht-
tps://www.linkedin.com/pulse/3-linhas-de-defesa-e-cultura-ges-
t%C3%A3o-do-risco-alexandre-rangel/?originalSubdomain=pt>.
Acesso em: 14 fev. 2022.
TEIXEIRA, J. M. Do compliance à criação de valor. PWC,
[20--]. Disponível em: <https://www.pwc.pt/pt/hits/artigos-
-opiniao/jose-teixeira.html>. Acesso em: 15 mar. 2022.
THE INSTITUTE OF INTERNAL AUDITORS. Modelo das
Três Linhas do IIA 2020: uma atualização das Três Linhas de
Defesa. The IIA – Sede Global, 2020. Disponível em: <https://
iiabrasil.org.br/korbilload/upl/editorHTML/uploadDireto/
20200758glob-th-editorHTML-00000013-20072020131817.
pdf>. Acesso em: 10 fev. 2022.
352
LEI GERAL DE PROTEÇÃO DE DADOS –

COMUNICAÇÃO FÁCIL COM AS PARTES
INTERESSADAS USANDO LINGUAGEM SIMPLES,
LEGAL DESIGN E VISUAL LAW
Isabela Abreu1
A LGPD (Lei Geral de Proteção de Dados) tem como

foco o titular de dados pessoais e sua capacidade em determinar
os limites de uso desses dados. É o fundamento da autodetermi-
nação afirmativa, que aparece no art. 2º, II, da Lei. Cabe ao titular
definir quais dados pessoais permitirá tratar, e em quais condições.
Os agentes de tratamento, por outro lado, devem informar o titular
das condições em que se dará o tratamento dos dados pessoais.
1
Formada em Direito na USP, com mais de 10 (dez) anos de experiên-
cia no mercado de certificações em Gerenciamento de Serviços de TI e
metodologias relacionadas, Isabela se dedica nos últimos 7 (sete) anos
à Consultoria Jurídica voltada para o Direito e Tecnologia; Trabalhou
no itSMF Brasil, EXIN Brasil– Examination Institute for Information
Science, na Consultoria PATH ITTS Data Governance e no The Open
Group, como Country Mananger para o Brasil; Membro da AEA Brasil
– Associação dos Arquitetos Corporativos do Brasil - participou das se-
guintes traduções: Glossário de TOGAF®9.1, Guia de Bolso do TOGAF
9.1, dos 2 exames (Foundation e Certified) para certificação TOGAF 9 e
parte do material de treinamento do curso de TOGAF, desenvolvido pelo
Open Group; Membro do IACCM – International Association of Com-
mercial and Contract Management; Coordenadora do Grupo de Estudos
da OAB de São Bernardo do Campo; Trabalha com contratos ligados à
área de Tecnologia, focada em Proteção de Dados e Privacidade, geren-
ciamento de contratos e Legal Design-Visual Law; LinkedIn: https://
www.linkedin.com/in/isabela-abreu-9953666
353
Sem grande esforço, é possível, em quase toda LGPD,

localizar a obrigatoriedade de produzir comunicação das mais
variadas formas entre as partes interessadas, excetuando-se
16 artigos de um total de 65.2
Assim, ao longo deste texto legal, encontramos inúmeras

disposições e requisitos que demonstram a necessidade de comu-
nicação clara e objetiva entre titulares de dados, agentes de trata-
mento, encarregado de dados, órgãos públicos e regulatórios.
Um dos pontos mais críticos é a hipótese do tratamen-

to de dados pelo consentimento. O art. 5º, XII, determina que
a manifestação do titular deve ser livre, informada e inequí-
voca ao concordar com o tratamento de seus dados pessoais
para uma determinada finalidade.
Outro item relevante é o atendimento aos Direitos dos Ti-

tulares. Os canais de comunicação devem atuar de forma clara,
sem jargão e “tecniquês”, pois o titular nem sempre possui educa-
ção tecnológica para compreender o que envolve o tratamento de
seus dados pessoais. Neste sentido, é considerado hipossuficiente.
Daí a necessidade de avisos de privacidade, políticas e outras in-
formações que, de forma simples, expliquem com transparência
todos os aspectos que envolvem o uso dos dados coletados.
Existe a comunicação externa, voltada ao público. Porém,

tem-se, também, a comunicação interna entre agentes de trata-
mento, terceiros e colaboradores. Implica na produção de avisos,
políticas e normativas, treinamentos, contratos, relatórios para di-
ferentes áreas, algumas altamente técnicas e especializadas.
Fundamentais para a gestão da proteção de dados e da

segurança da informação, estes documentos geram evidên-
354
cias, mitigam riscos e se destinam não só para a alta gerência,

mas para toda a organização.
Para cumprir os requisitos da LGPD, usualmente, ad-

vogados redigem os documentos de caráter normativo para
compliance (avisos, políticas, regras e diretrizes), contratos
e pareceres, enquanto profissionais especializados em tecno-
logia e segurança da informação produzem relatórios, alguns
solicitados, inclusive, pela própria organização. Um exemplo
é o Relatório de Impacto de Proteção de Dados (RIPD), que
analisa riscos de privacidade e segurança que um incidente
pode trazer para o Controlador dentro de um determinado tra-
tamento de dados pessoais sensíveis e/ou críticos. Ou o Teste
de Balanceamento para justificar o uso da hipótese legal de
tratamento de dados pelo Legítimo Interesse do Controlador.
A LGPD é multi e interdisciplinar. Portanto, não há

como se adequar à Lei e gerenciar a privacidade, a proteção
de dados e a segurança da informação sem abranger todas as
partes interessadas, dentro e fora da organização. Num grau
maior ou menor, a organização, como um todo, é afetada.
Então, como criar conteúdos complexos, mas com-

preensíveis, para tantas pessoas, tão diferentes entre si, aten-
dendo as demandas por informação? Cumprindo a LGPD e,
igualmente, obedecendo as demais regulamentações às quais
a organização se submete?
Para isso, advogados e profissionais, sejam terceiros

ou colaboradores, técnicos ou administrativos, precisam che-
gar a uma linguagem comum, onde a comunicação se torne
fácil, clara, eficaz. A informação deve fluir entre os diferentes
silos de uma organização. Emissores e receptores das comu-
355
nicações precisam se alinhar e, despidos de preconceitos e

jargões, abraçar esse pensamento, criando padrões para ela-
boração de documentos.
É possível vencer o desafio da comunicação usando

técnicas inovadoras, misturando metodologias e um pouco de
tecnologia. Não faltam livros, cursos e ferramentas.
Atualmente, Direito e Tecnologia andam de mãos

dadas, facilitando a vida de todos que se envolvem com o
sistema jurídico. Comunicação clara democratiza a Justiça,
tornando-a acessível e realizável. Enfim, viabiliza o exercício
da cidadania. Eis a importância deste tema!
Consultando Claudia Cappelli3 e demais obras de Legal

Design, destacam-se os conteúdos que são a base desta nova for-
ma de comunicação. E, chegamos, assim, nos seguintes assuntos:
1. Linguagem Simples, ou, do inglês,

Plain Language; e
2. Legal Design e o Visual Law
I. LINGUAGEM SIMPLES, OU, DO INGLÊS, PLAIN

LANGUAGE
No art. 6º da LGPD temos os princípios que se aplicam

a todo tratamento de dados pessoais. A boa-fé encabeça a lista,
e o inciso VI fala sobre a Transparência: agentes de tratamento
devem garantir que titulares recebam informações claras, pre-
cisas e facilmente acessíveis sobre o tratamento de seus dados,
resguardando-se os segredos comerciais e industriais.
356
Claudia Cappelli define transparência da informação

como: ...” a característica que possibilita ao cidadão não só
acessar, mas obter facilidade de uso, qualidade de conteúdo,
entendimento e auditoria às informações de seu interesse, sob
a tutela de centros de autoridade. 4 - pg 93
“De fato, como aponta a definição de trans-
parência, para as pessoas usarem efetiva-
mente serviços e se apropriarem de dados
e informações que ajudem a fomentar uma
participação ativa, principalmente no am-
biente público, deve além de dar acesso as
informações precisam ser apresentadas de
forma que possam ser entendidas. Aconte-
ce que no Brasil, um dos desafios é o alto
nível de brasileiros iletrados e desfavoreci-
dos digitalmente com difícil compreensão
das informações. Segundo o Indicador de
Analfabetismo Funcional [INAF, 2018],
63% da população brasileira está abaixo da
classificação proficiente ou intermediária
para a competência de entendimento em in-
formações simples. A cada 10 brasileiros, 3
têm muita dificuldade para usar a leitura e
a escrita, comparar ou avaliar informações.
4 - pg 88,89
Outro problema é o entendimento da informação. Não

basta dar acesso ao cidadão ou titular de dados, possibilitando seu
uso. Ele precisa entender o tema e, se não o compreende, não usa
e nem participa da tomada de decisões sobre estas informações.
Uma das formas de se alcançar a Transparência é a

metodologia da Linguagem Simples (Plain Language). O ob-
jetivo é fazer o leitor da informação encontrá-la, entendê-la e
usá-la de forma rápida e fácil.
357
É um movimento que surgiu em países de língua in-

glesa na década de 70. Mesmo sem ter um padrão definido,
ganhou força ao ser apoiado por associações de defesa do
consumidor, funcionários públicos e profissionais da área do
Direito, insatisfeitos com uma comunicação complexa.
Espalhadas mundialmente, associações internacionais cria-

ram uma Federação que estabeleceu os princípios da Transparência
(informação de fácil localização, compreensível e utilizável).
Mas, na prática, como usar a Linguagem Simples?
• Evite jargões, termos técnicos, linguagem

complexa, de difícil entendimento;
• Use as melhores práticas da linguagem sim-

ples, contidas no Federal Plain Language Guidelines;5
• Conheça o público-alvo da comunicação, en-

tendendo o nível de conhecimento que tem sobre o
assunto, sempre lembrando como escrever para este
público. Aqui, a criação de um perfil genérico ficcional
dos receptores típicos da informação se faz a partir de
dados reais, pessoais e de comportamento. Isto facilita
a identificação precisa do destinatário da comunicação;
• Nos casos de informações voltadas para dife-

rentes audiências, apresente-as em separado, confor-
me o perfil de cada público;
• Organize a apresentação da informação, iden-

tificando claramente, por exemplo, o que se deve
cumprir e as consequências do descumprimento;
358
• Atenda as necessidades da audiência (declare

a finalidade e os resultados da informação);
• Elimine conteúdo desnecessário, colocando as

informações mais importantes no início do documen-
to, separando as específicas das gerais (que devem
vir por último). Crie uma hierarquia das informações,
sempre personalizando o conteúdo conforme o públi-
co-alvo;
• Fale para uma pessoa, não para um grupo. Use

o “você”;
• Use títulos úteis (perguntas frequentes, por

exemplo), de declarações (que definem conteúdo), de
escopo (se genéricos, por exemplo: Geral, Aplicati-
vo). Evite os muito genéricos e longos;
• Escreva seções curtas, pois as longas dão a

impressão de que a informação é difícil de entender;
• Com relação à escrita, escolha com cuidado as

palavras. Use as curtas. Se preocupe com a concisão,
precisão, simplicidade e domínio comum do vocabu-
lário do público-alvo;
• Use voz ativa, verbos conjugados no tempo

presente do Indicativo;
• Evite transformar verbos em substantivos;
• Evite usar expressões estrangeiras, abreviatu-

ras, acrônimos e siglas sem a devida explicação;
359
• Mantenha consistência ao usar determinados

termos sempre para os mesmos objetos. Sinônimos
podem ter diferentes significados conforme o públi-
co-alvo da comunicação;
• Estruture as sentenças, pois a ordem das palavras

é importante. A ordem natural é sujeito > verbo > objeto;
• Procure escrever de forma positiva, evitando

frases negativas, pois são confusas. Lembre-se que
duas negativas em uma sentença se anulam e tornam a
comunicação positiva. Exceções devem vir por último;
• Escreva parágrafos curtos, encadeando as fra-

ses e fazendo as ideias seguirem um fluxo lógico.
E, como boas práticas, de caráter geral, tenha sempre

em mente que:
• O uso de exemplos faz o público-alvo enten-

der melhor a informação;
• A criação de listas e tabelas melhoram um tex-

to extenso e cheio de itens;
• A inserção de uma ilustração na informação é

mais benéfica do que uma extensa descrição textual;
• O uso de recursos como negrito e itálico são

úteis para destacar pontos importantes da comunicação;
• A redução do número de referências cruzadas aju-

da o consumidor da informação a não se dispersar muito.
360
A Linguagem Simples oferece métodos para melho-

rar a compreensão, e pensando-se em elementos visuais, os
benefícios aumentam. Além do texto, estrutura e design da
informação, também têm que incrementar a compreensão.
Recursos visuais facilitam o entendimento e atraem.
E isso se dá através da adaptação de documentos,

gráficos, figuras, modelos de processos, modelos organiza-
cionais, websites e interfaces de sistemas (veja Visual Law a
seguir).
Finalizando, antes de partir para a elaboração do texto

de um documento usando a Linguagem Simples, você preci-
sa, inicialmente, aplicar o Legal Design.
II. LEGAL DESIGN E VISUAL LAW
Primeiramente, precisamos entender o que é termo

“design”. Normalmente, se associa este conceito à beleza.
Mas, design é o desenho de um produto que deve atender, em
primeira mão, a funcionalidade. A estética é secundária.
“Ou seja, a forma deve seguir a função. O

design deve resolver uma necessidade [ZHU,
2005, p.4] com uma solução agradável que
leve em consideração a interação do usuário
para estar correto. De nada adianta uma bela
composição, se ela é inútil [Norman, 2013, p.5].” [6 -
posição 246-250]
.
361
Por volta de 2013, Margaret Hagan, da Universidade

de Stanford, criou o The Legal Design Lab que desenvolveu
o assunto do design da informação legal: ...” olhar o sistema
legal a partir dos seres humanos, entender as questões cruciais
do sistema e buscar soluções criativas para melhorá-lo.7
III. O DESIGN THINKING APLICADO AO DIREITO É

LEGAL DESIGN THINKING OU LEGAL DESIGN?
“Apesar de comumente associados, o legal

design e o design thinking possuem concei-
tos diferentes. O legal design é a aplicação
de design e experiência do usuário em docu-
mentos jurídicos. Já o design thinking é um
processo de resolução de problemas focado
no usuário, que é usado em diversas áreas,
inclusive no legal design.”8
Portanto, são conceitos diferentes.
“Quando se fala em legal design thinking,

significa que é a aplicação do design thinking
na área jurídica como um todo, ou seja, o uso
do processo de design thinking para resolver
um problema jurídico. “8
“O legal design thinking, então, é uma exce-

lente ferramenta na resolução de problemas e
entendimento de necessidades, sempre bus-
cando a inovação e a adaptabilidade.”8
362
O design thinking é uma metodologia de resolução de

problemas ou de criação de produtos que coloca o usuário no
centro do processo. No entanto, não é a única metodologia
existente e tampouco não é a única metodologia possível para
uma abordagem focada no usuário.
“O design thinking é uma técnica que pode
fazer parte do processo de legal design, mas
não é absolutamente necessário. É útil e pode
ajudar, mas não é necessário.”9
IV. COMO USAR O LEGAL DESIGN?
Apesar de várias definições de Legal Design o ponto

central é ...” a aplicação de princípios e elementos de design
e a experiência do usuário na concepção e na elaboração de
documentos ou produtos jurídicos “[6 - posição 163-168].
O legal design se diferencia do information de-

sign (design da informação) puro porque além de aplicar as
técnicas de design e experiência do usuário em documentos, é
necessário seguir certos padrões para que sejam considerados
válidos e legais. Assim, não basta apenas aplicar o informa-
tion design como técnica. Essa técnica deve respeitar os limi-
tes jurídicos. Caso contrário, o documento se torna inválido.8
Você pode usar a metodologia do Design Thinking

para criar documentos para seu cliente e usuários da solução
do problema. São várias fases:
• Empatia: se coloque no lugar do cliente/usuá-

rios do documento. Faça pesquisas e fuja dos precon-
ceitos que alguns resultados apresentarão. Empatia é
o que importa.
363
• Definição do problema: Qual é a dor do clien-

te/usuário? Reúna os resultados obtidos na fase da
pesquisa. Use a matriz CSD: Certeza (o que já sei) /
Suposições (talvez seja útil) /Dúvidas (o que preciso
descobrir). É um trabalho de equipe e só assim se con-
segue mais clareza do que deve ser feito.
• Ideação: Hora de pensar no que criar, com a

equipe, chegando na melhor solução para cliente/usuá-
rios. A partir dos elementos que você colheu nas fases
anteriores, agora existem certezas. Você será capaz de
resolver o problema e decidir pela melhor solução.
• Prototipação: Mãos na massa! Você vai expe-

rimentar, elaborar uma solução e colocá-la em prá-
tica, sempre atento às respostas do cliente/usuários.
Ainda não é um produto finalizado e acabado.
• Teste: Como o nome diz, é a hora de testar se

a solução que você desenhou vai funcionar. Converse
com cliente/usuários e confirme se o protótipo aten-
de as expectativas. Se necessário, e só então, inicie
o processo de melhoria contínua da solução. Talvez
você tenha que voltar para a fase de prototipação, ou
mesmo da de ideação. O mais importante é interagir,
coletar novas informações, processá-las e aprimorar a
solução. Quantas vezes forem necessárias, mas o pro-
cesso tem que ter um fim.8
V. OS PRINCÍPIOS DA EXPERIÊNCIA DO USUÁRIO
Como você produz uma informação não só para

seu cliente, mas também para as partes interessadas
(usuários daquela comunicação), é necessário pensar na
364
experiência do usuário. Entender como ele se comporta, e

o que o estimula - ou repele - ao ler um documento.
Daí a importância da pesquisa. Fica mais fácil to-

mar decisões sobre qual será a melhor forma de design
para tornar completa a compreensão do texto.
Portanto:
• Crie o documento pensando nos usuários;
• Crie conteúdos amigáveis, curtos;
• Seja claro, não deixe dúvidas;
• Use elementos que sejam familiares aos usuá-

rios, de preferência de entendimento universal;
• Garanta a facilidade da visualização, evitando

a poluição visual;
• Garanta a facilidade da compreensão, assim

os usuários logo entenderão o conteúdo da co-
municação;
• Reduza a carga de conhecimentos que o usuá-

rio deverá absorver;
• Tenha um padrão no layout e o mantenha; e
• Tente prever o comportamento do usuário ao

acessar o documento, ajustando o design.9
365
VI. E O VISUAL LAW?
Faz parte do Legal Design, não é uma área autônoma.

Visual Law é aplicar os princípios de recursos visuais (de-
sign gráfico) ao protótipo validado. Portanto, para facilitar a
leitura e o entendimento da solução, você deve considerar a
experiência do cliente/usuários ao usar o protótipo e, talvez,
torná-lo mais funcional.
“Vale lembrar que essa técnica não se resume ao

documento como resultado – é algo maior, que
envolve todo o processo de criação, o uso de pes-
quisas, técnicas de experiência do usuário, design
de interface, princípios de design, dentre outros.
Então tome cuidado para não confundir”. 10
O texto deve estar pronto, acabado, escrito com base

na Linguagem Simples. Neste momento, o objetivo é trans-
formar, se possível, algumas informações escritas em ima-
gens, que possam ajudar na compreensão do conteúdo. Exis-
tem inúmeras técnicas e recursos para fazer isto. Abaixo você
encontra algumas referências.
Mas cuidado!!!! Evite produzir um documento poluí-

do visualmente, com gráficos e imagens que não fazem sen-
tido para o cliente/usuário. Tem que haver um racional para
o emprego do design gráfico. Portanto, esqueça o conceito de
design como embelezamento. A “belezura” se transforma em
diagramação equivocada, por exemplo, uso de ícones, cores
e imagens em demasia, e gráficos incompreensíveis. Foque
naquilo que fará sentido ter na solução (forma e utilidade do
recurso visual), sempre pensando a quem ela se destina. Daí
a importância da experiência do usuário.
366
Tenha em mente que o objetivo não é “encurtar” do-

cumentos e sim torná-los úteis, funcionais e que cumpram
sua finalidade: se comunicar com a todas partes interessadas
com transparência e eficácia.
Alguns pontos de design gráfico que você precisa co-

nhecer ao montar o layout de uma informação:
• Identidade Visual > mais que inserir o logo-

tipo no documento, use elementos que identificam a
organização – cores, formas, fontes. Sempre peça o
manual da marca do cliente.
• Hierarquia > organize as informações por or-

dem de importância para que a leitura do documento
faça sentido para o cliente/usuário.
• Escala > use tamanhos diferentes para destacar

ou ocultar pontos específicos no documento, fazen-
do que haja uma leitura comparativa entre o que está
“grande” (importante) e o está “pequeno” (secundário).
• Cores > use para dar uma dimensão psicoló-

gica, mesmo simbólica, em determinado ponto do do-
cumento, provocando alguma reação, modificando a
atenção do leitor. Cuidado para não exagerar...
• Contraste > use para destacar diferenças entre

elementos de um documento. Afeta a legibilidade do
documento. Não abuse do “positivo” (branco) x “ne-
gativo” (preto) num mesmo texto. Fica pesado!
• Equilíbrio > deve haver um balanceamento entre

os elementos gráficos dentro de um documento. Nem tudo
à direita, nem tudo à esquerda. Harmonia na distribuição.
367
• Alinhamento > seguindo o ponto acima, e res-

peitando sua criatividade, blocos de informação, grá-
ficos, textos etc. precisam obedecer a um alinhamento
dentro de um documento. Se começou com alinha-
mento à direita, mantenha-o até o final.
• Grid > use as grades, linhas verticais e hori-

zontais para conseguir um layout limpo, agradável de
se visualizar. Facilita o equilíbrio e alinhamento, tra-
zendo harmonia e consistência ao padrão escolhido.
• Espaço Negativo > é o “fundo” do documento.

Pode ser branco ou colorido. Sem ele o documento fica
poluído, pesado, dificultando a leitura, roubando a con-
centração do leitor. Cria espaços, intervalos, o respiro
que ajuda na organização e hierarquia do texto.
• Gestalt > use como base para ajudar o leitor a

ligar informações relacionadas, similares, tornando a
leitura fluída. Correlacionar informações, localizando-
-as em um bloco, próximas, desde que haja um racio-
nal para tanto. Deve haver um elemento comum que as
uma, justificando o posicionamento e o layout.6
Outros recursos de Design Gráfico, que também se

deve usar com cautela:
• Uso de ícones
• Trechos Grifados
• Fluxogramas
• Linha do tempo
• Fontes, numeração e marcadores
368
• Tipografia
• Numeração
• Espaçamento
• Linguagem
• Gamificação6
Encerrando este capítulo, deixo para você uma provo-

cação. É preciso sair da zona de conforto, abandonar fórmu-
las desgastadas para se comunicar e sempre inovar.
Comece já a aplicar no seu trabalho, nas suas entregas

os conceitos de Linguagem Simples, Legal Design e Visual
Law. Todos os dias. Inicialmente, você gastará mais tempo e
esforço. Reserve um período para isto. Comece pequeno, pas-
sos de bebê. Se descubra. Procure definir qual será sua abor-
dagem, sua estética ou layout. E conheça o destinatário de seu
produto (documento) e entenda a finalidade desta solução.
Não se preocupe em produzir perfeição. Excelência

somente virá com a prática, com o treino e aprendizado cons-
tante. Mas, não deixe de usar estas boas práticas no trabalho,
na comunicação pessoal, no dia a dia.
Você perceberá uma mudança real e positiva não só

nos seus relacionamentos profissionais. A comunicação flui-
rá, atingindo-se mais facilmente os objetivos propostos. To-
dos ganham!
Alguns recursos tecnológicos para aplicar Visual Law:
Word, Power Point, Figma, Sketch, InVision, CorelDraw, Canva,
Illustrator (Adobe), In Design (Adobe).
369
11
VII. REFERÊNCIAS
2
Artigos que não tratam de comunicação na Lei Geral de Pro-
teção de Dados, Lei 13.709/2018 (1º, 3º, 4º, 12, 16, 17, 21,
24, 25, 28, 44, 45, 56, 57, 64 e 65).
3
Claudia Cappelli; disponivel em <http://lattes.cnpq.
br/4930762936357558>. Acesso em 08 de jul de 2022.
4
Cappelli, C.; NUNES, V. T. ; SANTOS, R. . Transparência
e Transformação Digital: O Uso da Técnica da Linguagem
Simples. In: Tiago Cruz de França, Alexandre Louzada, Ales-
sandro Cerqueira. (Org.). Minicursos da ERSI-RJ 2021 - VII
370
Escola Regional de Sistemas de Informação do Rio de Janei-

ro. 1ed.Rio Grande do Sil: SBC, 2021, v. 1, p. 86-113. Acesso
em 08 de jul de 2022.
5
Federal Plain Language Guidelines; disponível em <https://
www.plainlanguage.gov/guidelines/> Acesso em 08 de jul de
2022.
Maia, A.C.; Nybø, E.F.; Cunha, M. Legal Design: Criando

6
Documentos que Fazem Sentido para os Usuários. Saraiva

Educação, 2020; ePUB, São Paulo, SP (Ebook).
7
Holtz, A.; disponível em: <https://www.anaholtz.com.br/
post/o-que-e-legal-design>, 01 de maio de 2019. Acesso em
08 de jul de 2022.
8
Moreno, M.; disponível em <https://legaldesignbits.com/
blog/legal-design-thinking/,> 30 de maio de 2022. Acesso em
08 de jul de 2022.
9
Nybø, E.F.; https://www.bitsacademy.com.br/legal-design/
legal-design-o-que-e-como-e-quando-usar/[s.d.] Acesso em
08 de jul de 2022.
Moreno, M.; https://legaldesignbits.com/blog/o-que-e-le-

10
gal-design/, 10 de fev. de 2022. Acesso em 08 de jul de 2022.
11
Legalhack – FCMlaw
371
A ACCOUNTABILITY DO AGENTE DE
TRATAMENTO DE DADOS PESSOAIS: UMA
ANÁLISE SOBRE A AUTONOMIA DA AUTORIDADE
NACIONAL DE PROTEÇÃO DE DADOS
Isadora Helena Gardés Cardoso1
I. INTRODUÇÃO
O objeto do presente estudo é analisar a dependência

orçamentária, funcional e administrativa da Autoridade Na-
cional de Proteção dos Dados (ANPD) frente ao Poder Exe-
cutivo, em particular, considerando que o órgão foi criado
como mecanismo para promover a fiscalização da Lei Geral
de Proteção de Dados (LGPD) no Brasil, além de ser respon-
sável por sua implementação e zelo.
O primeiro passo é compreender o conceito de ac-
countability e as suas funções, modalidades e aplicações em
relação ao Estado. Ainda neste tópico inicial, demonstrar-se-á
como a accountability horizontal se insere no contexto das
atribuições designadas para a ANPD pelo legislador desde a
criação, especialmente no tocante à sua responsabilidade para
aplicar sanções.
Para tanto, analisar-se-á a criação da autoridade e as suas
principais incumbências. Quanto a este segundo ponto, é válido o
aprofundamento quanto à natureza jurídica da instituição. Por fim,
em conclusão, verificar-se-á quais as possíveis consequências da
Medida Provisória n 1.124 que promoveu a ANPD a autarquia, e
de que modo esta mudança interferirá na aplicação da Lei Geral
1
Advogada, mestranda em Direito Acadêmico, e-mail: isadorahgcardo-
so@gmail.com
372
de Proteção de Dados, notadamente no que se refere à segurança

e à proteção dos dados pessoais e à incidência da answerability e
enforcement pela própria DPIA (Data Protection Authority).
II. ACCOUNTATIBILITY
Primeiramente, faz-se necessário entender o conceito

de accountability e suas características vez que se trata de es-
trangeirismo e não existe uma expressão que consiga traduzir
para o português a palavra de maneira íntegra.
Existem três características primordiais para a
compreensão da expressão no contexto deste trabalho.
Em primeiro lugar, da perspectiva de quem atua com
accountability, o termo pode ser compreendido de duas
formas: o mandante – também chamado por principal e o
mandatário, que é o agente. Este último é a pessoa física
ou jurídica que realiza ações, respondem e devem prestar
informações ao principal (ou ao agente com competência
para tanto); e serão responsabilizados de forma positiva
ou negativa por seus atos2.
A segunda característica da accountability são as
suas formas de atuação, divididas entre a informativa/
justificadora e a sancionadora. Ilton Noberto, sobre o
tema, leciona que a estrutura da accountability ergue-se
em duas formas: “answerability (necessidade de dar res-
postas) e enforcement (coação)3”.
2
Robl Filho, Ilton Norberto. Conselho Nacional de Justiça : Estado de-
mocrático de direito e accountability, 1ª Edição. Disponível em: Minha
Biblioteca, Editora Saraiva, 2012.
3
Ibidem. p. 101
373
A necessidade de dar resposta decorre da competência

do órgão de determinar que o agente apresente informações e
justificativas para determinado ato. A coação, como se intui,
tem a função de punir ou premiar as ações do agente e será
implementada por quem tem competência para fazê-lo, seja
um agente ou o principal4.
Existem subtipos para a accountability: eleitoral, ho-
rizontal e judicial5. Para este trabalho. Este estudo tem o in-
tuito de analisar a função da accountability na estruturação
e aplicação da Autoridade Nacional de Proteção dos dados
(ANPD), principalmente, a accountability horizontal.
A accountability horizontal é aquela segundo a qual
o agente deve prestar informações e justificativas dos seus
atos e, a partir deste, o mandatário ou mandante, irá aplicar
o enforcement. Este controle, por vezes, acontece de forma
recíproca entre os agentes. É que o se observa, por exemplo,
entre os Três Poderes da República, quando o agente “A” se-
gue a lei por temor de ser sancionado pelo agente “B”. Este,
a seu turno, aplica a sanção a “A” sob risco de ser ele mesmo
sancionado por “C” que, finalmente, é fiscalizado por “A”6.
Além da accountability horizontal ter o papel acima
descrito, como um peso e contrapeso entre os três poderes,
têm cada vez surgido mais atores – nacionais e internacionais
- com competência para exigir informações, justificativas e
aplicar as sanções. É o caso do Conselho Nacional de Justiça
e da Autoridade Nacional de Proteção dos Dados.
A Autoridade Nacional de Proteção de Dados é sujeito
de accountability horizontal na medida em que pode respon-
der a outras autoridades; e também possui competência para
4
Ibidem.
5
Ibidem.
6
Ibidem. p. 125
374
cobrar de outros agentes (answerability) e para sancioná-los

(enforcement) em matéria de proteção de dados pessoais.
III. A CRIAÇÃO DA AUTORIDADE NACIONAL DE

PROTEÇÃO DE DADOS – ANPD
A Autoridade Nacional de Proteção De Dados –

ANPD foi instituída por meio da Lei 13.853/2019, legislação
que alterou a Lei nº 13.709/2018 e possui como um dos seus
principais encargos a criação do órgão.
Esta segunda lei, por sua vez, foi a responsável pela cria-
ção da Lei Geral de Proteção de Dados no Brasil, dispondo so-
bre o tratamento e proteção dos dados pessoais. Em seu art. 5º,
inciso XIX, determinou-se que a ANPD seria um “órgão da
administração pública responsável por zelar, implementar e
fiscalizar o cumprimento desta Lei em todo o território nacional”7.
A previsão inicial era de que a ANPD seria criada
como agência reguladora8, porém, quando da promulgação da
Lei Geral de Proteção de Dados, determinou-se que o órgão
seria vinculado e integrado ao Poder Executivo; desprovido
de independência plena para fins orçamentários e funcionais
– sendo apenas natural que sua autonomia fosse questionada.
7
BRASIL; Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de
Dados Pessoais (LGPD). Disponível em: <http://www.planalto.gov.br/cci-
vil_03/_Ato2015-2018/2018/Lei/L13709.htm>. Acesso em 30 de abr. de 2022.
8
Motta, Clara Amédée Péret. A ANPD e a preocupação com sua natureza
jurídica. Migalhas. abr. 2021 Disponível em: <https://www.migalhas.com.
br/depeso/344752/a-anpd-e-a-preocupacao-com-sua-natureza-juridica>.
Acesso em 27 de abr. de 2022.
375
A criação da autoridade nacional constava no arti-

go 55-A da lei nº 13.709/2018: “fica criada, sem aumento
de despesa, a Autoridade Nacional de Proteção de Dados
(ANPD), órgão da administração pública federal, integrante
da Presidência da República”9.
Com o advento da Medida Provisória nº 1.124, pu-
blicada no dia 13 de junho de 2022, ficou determinado que
a Autoridade, mantidas suas competências e estruturas, seria
transformada em autarquia de natureza especial (art. 1º)10. A
nova redação do art. 55-A da Lei Geral de Proteção de Dados
traz a seguinte redação:
Art. 55-A. Fica criada a Autoridade Nacional
de Proteção de Dados - ANPD, autarquia de
natureza especial, dotada de autonomia técni-
ca e decisória, com patrimônio próprio e com
sede e foro no Distrito Federal11.
Dessa forma, a transformação da autoridade em au-

tarquia alterou um ponto essencial para a função administra-
tiva do órgão, aproximando-a de agências reguladoras como
a ANATEL e a ANAC. Resta por se observar se esta será a
natureza jurídica da entidade na prática.
As competências da ANPD, como o seu papel de edi-
tar os procedimentos e regulamentar a lei e as práticas para a
proteção dos dados pessoais, passa pela orientação dos agentes
de tratamento. Estas medidas têm sido tomadas na forma da
9
vil_03/_Ato2015-2018/2018/Lei/L13709.htm>. Acesso em 30 de abr. de 2022.
10
http://www.planalto.gov.br/ccivil_03/_Ato2019-2022/2022/Mpv/mpv1124.htm
11
vil_03/_Ato2015-2018/2018/Lei/L13709.htm>. Acesso em 29 de jun. de 2022.
376
agenda regulatória da DPA e já incluem manuais, orientações,

consultas públicas, tomadas de subsídios, dentre outros12.
No âmbito sancionador, a autoridade regulamentou o
processo administrativo próprio por meio da RESOLUÇÃO
CD/ANPD nº 113, estabelecendo as regras e circunstâncias
para aplicação de penalidades face a eventuais infrações,
consoante dispostas no art. 52 da Lei nº 13.709/2018. Deixou
claro, contudo, que seu papel é antes educar e prevenir trata-
mentos de dados irregulares ou ilícitos.
Do que se viu até aqui, sobretudo no que tange sobre
o sistema de accountability horizontal, a ANPD tem, pois, a
competência de fiscalizar, solicitar informações e justificativas
(answerability) e aplicar sanções (enforcement) àqueles que
descumprirem a Lei Geral de Proteção de Dados ou seus regu-
lamentos próprios. Consequentemente, os agentes – inclusive
os órgãos públicos – são obrigados a se reportar à autarquia
quando provocados organicamente ou mediante denúncias.
Em outras palavras, a ANPD é responsável por exercer a
fiscalização do tratamento dos dados pelas entidades públicas e,
inclusive, possui prerrogativa para a sancioná-las. É o que dispõe
o art. 52, § 3º, da Lei 13.709, em vigor desde agosto de 2021:
§ 3º O disposto nos incisos I, IV, V, VI, X,
XI e XII do caput deste artigo poderá ser
12
BRASIL; Nota Técnica nº 25/2022/CGN/ANPD; Gov.Br. Presidên-
cia da República; Disponível em: <https://www.gov.br/anpd/pt-br/
acesso-a-informacao/auditorias-acoes-de-supervisao-e-correicao/sei_
00261-000027_2021_64-nt-n-25-relatorio-de-acompanhamento.pdf>.
Acesso em 10 de jul de 2022
13
BRASIL. Resolução CD/ANPD nº 1, de 28 de outubro de 2021. Presidên-
cia da República. Diário Oficial da União; Edição 205; Seção 1; Pág. 06.
Disponível em: <https://www.in.gov.br/en/web/dou/-/resolucao-cd/anpd-n-
-1-de-28-de-outubro-de-2021-355817513>. Acesso em 9 de jul de 2022.
377
aplicado às entidades e aos órgãos públicos,

sem prejuízo do disposto na Lei nº 8.112, de
11 de dezembro de 1990, na Lei nº 8.429, de
2 de junho de 1992, e na Lei nº 12.527, de 18
de novembro de 201114.
De outro lado, ainda não há relatos, nem na mídia, sobre

a aplicação de multas pela instituição. O que existem são notícias
sobre pedidos de esclarecimentos – como no episódio recente en-
volvendo o Serpro, buscando analisar a Portaria RFB 16715.
Em regra, aplicam-se aos agentes de tratamento do
poder público as mesmas regras aplicáveis aos privados. To-
davia, a ANPD lançou recentemente, em janeiro de 2022, um
Guia Orientativo para tratamento de dados pessoais pelo Po-
der Público16 cuja observância certamente será evidência de
boa-fé. É importante também, no contexto do poder público,
compreender que há regras de transparência que se aplicam a
ele e que a Lei de Acesso a Informação, por exemplo, é per-
feitamente conciliável com a LGPD.
Ultrapassadas as questões conceituais e peculiarida-
des acima, o controlador ou o operador que tratem dados em
nome do Poder Público serão responsabilizados pela violação
à LGPD na forma dos seus artigos, incluídas as hipóteses de
exclusão da responsabilidade de que trata o art. 43.
14
Ibidem.
15
QUEIROZ, Luiz. ANPD fiscaliza compartilhamento de dados da Receita
Federal para terceiros via Serpro. Capital Digital. Disponível em: <https://
capitaldigital.com.br/anpd-fiscaliza-compartilhamento-de-dados-da-recei-
ta-federal-para-terceiros-via-serpro/>. Acesso em 29 de jun de 2022
16
BRASIL; Guia orientativo. Tratamento de Dados Pessoais pelo Poder
Público. Gov.Br. Presidência da República; Disponível em: <https://
www.gov.br/anpd/pt-br/documentos-e-publicacoes/guia-poder-publico-
-anpd-versao-final.pdf>. Acesso em 06 de jul de 2022.
378
Sobre o tema, a autoridade já se posicionou infor-

mando que a intenção da instituição não é torna-se mera-
mente arrecadatória:
6) Qual abordagem terá a ANPD quanto
a eventuais infrações cometidas? Segun-
do a proposta de regulamento submeti-
da à Consulta Pública, ainda sujeita a
alterações em razão das contribuições
recebidas, prevê-se que a atuação da
ANPD se dê conforme uma abordagem
responsiva, ou seja, de maneira gradual,
baseada no comportamento do regulado
e alicerçada em um plano de monitora-
mento do setor que permita a priorização
de temas segundo seu risco, gravidade,
atualidade e relevância. Assim, a pro-
posta de regulamento prevê etapas de
monitoramento, orientação, prevenção
e repressão de infrações, levando em
consideração as informações recebidas
a partir de reclamações, denúncias, re-
presentações e notificações de inciden-
tes para estabelecer prioridades a serem
incluídas na agenda de fiscalização. 17
A LGPD é uma lei nova e suas sanções entraram em

vigor há pouco tempo. É importante para a efetiva aplicação
da accountability que a ANPD não sirva unicamente como
um aplicador penalidades, sendo louvável que desde o início
tenha se proposto a ser mais do que isso.
BRASIL; Sanções administrativas o que muda após o 1º de agosto de

17
2021. Gov.Br. Presidência da República; Disponível em: <https://www.

gov.br/anpd/pt-br/assuntos/noticias/sancoes-administrativas-o-que-mu-
da-apos-1o-de-agosto-de-2021> Acesso em 24 de out de 2021
379
IV. A ANPD E ALTERAÇÃO DE SEU STATUS FACE À

ADMINISTRAÇÃO PÚBLICA
Como visto no tópico anterior, a ANPD conquistou

sua independência em relação ao Poder Executivo, seja finan-
ceiramente, administrativamente e funcional. Esta mudança é
considerada um importante marco porque afasta as descon-
fianças de que a instituição poderia ser condicionada na sua
tomada de decisões, especificamente quando o Poder Público
fosse o sancionado.
Neste sentido, o General Data Protection Regula-
tion (GDPR), que é a norma inspiradora da LGPD, expres-
samente dispõe que para validação da autoridade (DPA), é
necessário que haja autonomia técnica e financeira.18 Sendo
assim, a autonomia da autarquia quanto a ambos os simboliza
também a derrubada de um obstáculo para que o Brasil viesse
a ser considerado um país adequado – o que é fundamental no
panorama das transferências internacionais de dados.
A Presidente Suplente do Conselho Nacional de Pro-
teção de Dados, Stefani Juliana Vogel, declarou que a indepen-
dência da autoridade auxiliaria na compatibilização e harmoni-
zação com os órgãos de proteção de dados dos outros países19.
Natasha Nunes, diretora da Conexis Brasil Digital, também se
manifestou sobre a importância da independência da ANPD:
18
Motta, Clara Amédée Péret. A ANPD e a preocupação com sua natureza
jurídica. Migalhas. abr. 2021 Disponível em: <https://www.migalhas.com.
br/depeso/344752/a-anpd-e-a-preocupacao-com-sua-natureza-juridica>.
Acesso em 27 de abr. de 2022.
19
BRASIL; Mesa redonda ressalta a importância da independência da
ANPD. Gov.Br. Presidência da República. Mar. 2022. Disponível em: <ht-
tps://www.gov.br/anpd/pt-br/assuntos/noticias/mesa-redonda-ressalta-a-
-importancia-da-independencia-da-anpd>. Acesso em 07 de maio de 2022.
380
“A independência é um passo a mais nesse

processo de maturidade da autoridade. Traze-
mos nosso apoio ao alcance dessa autonomia.
Acreditamos que a autonomia administrati-
va, funcional e orçamentária permite à ANPD
maior a capacidade de priorizar suas ações, dar
vazão aos seus resultados pretendidos, claro
que com muita responsabilidade. E a ANPD
tem mostrado responsabilidade em seus atos20”.
Por isso, a edição da Medida Provisória nº 1.124 pelo

Presidente da República, transformando a ANPD em uma
autarquia de natureza especial, é importante conquista para
todos que atuam e se dedicam à proteção de dados pessoais,
representando a segunda vitória do setor em um período re-
lativamente curto, considerando também a Emenda Consti-
tucional nº 115 que elevou o direito ao status constitucional.
O art. 62 da Constituição Federal determina que a edição
da MP é ato com eficácia imediata após a sua publicação. O passo
subsequente é a submissão da norma ao Congresso Nacional para a
aprovação de ambas as casas legislativas, Câmara dos Deputados e
Senado Federal. Para tanto, o Poder Legislativo tem sessenta dias,
prorrogáveis por igual período, para aprovar (com ou sem alterações)
ou reprovar o texto da lei. Caso contrário, esta perde a sua validade.
Considerando a produção de efeitos imediatos da me-
dida editada, a ANPD já passa a atuar como uma autarquia de
natureza especial. A conselheira Miriam Wimmer, diretora da
autoridade manifestou-se sobre a questão:
Considerando a abrangência das compe-
tências da ANPD, que fiscaliza tanto setor
público como privado a transformação em
autarquia é importante para juridicamente
assegurar independência. A ANPD já tinha
autonomia técnica e decisória, prevista pela
LGPD, já tinha uma estrutura de colegiado,
Ibidem.
20
381
com mandatos fixos, mas a transformação da

natureza jurídica, transferindo ANPD para a
administração indireta, vem consolidar esses
requisitos de independência e autonomia,
que são tão importantes à luz das melhores
práticas internacionais21
Além dos benefícios já mencionados, a alteração do regi-

me jurídico da ANPD possibilitará que a instituição atue em Ações
Civis Públicas de forma autônoma perante o Poder judiciário.
V. A IMPORTÂNCIA DA AUTORIDADE COMO

AGENTE DE ACCOUNTABILITY HORIZONTAL
Como visto, a ANPD é responsável por fiscalizar os

atos das pessoas físicas e jurídicas, de direito público e privado
em termos de proteção dos dados – educando-os, advertindo-
-os e sancionando-os, conforme for o caso. Foi conferido à au-
toridade a competência para solicitar informações a quem for
necessário, o que a torna um agente com poderes de demandar
respostas (answerability). O art. 52 da LGPD concedeu tam-
bém ao órgão a responsabilidade de aplicar as sanções (enfor-
cement) necessárias aos sujeitos que descumprirem a lei e os
regulamentos aplicáveis à proteção dos dados pessoais.
Um exemplo prático desta atribuição foi quando, em
abril de 2022, a autoridade informou a abertura de um proces-
so administrativo para analisar a Portaria RFB 167 que versa
sobre decisão da Receita Federal de disponibilizar o acesso
GROSMANN, Luís Osvaldo; ANPD ganha independência e vira autarquia

21
especial. Convergência Digital. Disponível em: <https://www.convergencia-

digital.com.br/Governo/ANPD-ganha-independencia-e-vira-autarquia-espe-
cial-60577.html?UserActiveTemplate=mobile>. Acesso em 04 de jul de 2022
382
a dados que estavam em sua posse a terceiros, por meio do

Serpro22. De tal modo, a ANPD determinou que o agente for-
necesse informações para analisar se o ato estaria ou não vio-
lando o direito à proteção de dados das pessoas.
Porém, é necessária uma reflexão sobre as dificuldades
deste enforcement pela ANPD diante da Administração Pública.
Mesmo com a conquista da autonomia face ao Execu-
tivo (pendente de confirmação pelo Legislativo) há se de con-
siderar também a aplicabilidade das sanções previstas no art.
52 da LGPD em face da Administração Pública. Afinal, entre
as penalidades previstas na lei estão o bloqueio, a suspensão
e a proibição do tratamento:
LGPD, Art. 52
V - bloqueio dos dados pessoais a que se refere

a infração até a sua regularização; VI - elimina-
ção dos dados pessoais a que se refere a infra-
ção; e X - suspensão parcial do funcionamento
do banco de dados a que se refere a infração
pelo período máximo de 6 (seis) meses, pror-
rogável por igual período, até a regularização
da atividade de tratamento pelo controlador; XI
- suspensão do exercício da atividade de trata-
mento dos dados pessoais a que se refere a in-
fração pelo período máximo de 6 (seis) meses,
prorrogável por igual período; XII - proibição
parcial ou total do exercício de atividades rela-
cionadas a tratamento de dados.
Para desempenhar as funções administrativas, o Estado

precisa tratar os dados da população, seja para a oferta de um
serviço público, seja para a execução de políticas públicas, en-
22
QUEIROZ, Luiz. ANPD fiscaliza compartilhamento de dados da Receita
Federal para terceiros via Serpro. Capital Digital. Disponível em: <https://
capitaldigital.com.br/anpd-fiscaliza-compartilhamento-de-dados-da-recei-
ta-federal-para-terceiros-via-serpro/>. Acesso em 29 de jun de 2022
383
tre outras atividades essenciais para o funcionamento do país.

Da leitura do dispositivo acima transcrito, é observa-
-se que as penalidades acima descritas de bloqueio, elimina-
ção, proibição parcial ou total dos tratamentos de dados, são,
de certa forma, inexequíveis pelo poder público. Outra dúvi-
da diz respeito ao poder de autodeterminação dos titulares: há
situações em que a exclusão ou a oposição serão inviáveis.
Desta análise, percebe-se que será preciso deliberação
cuidadosa antes de a autoridade aplicar determinadas sanções
ao Governo sob pena de inviabilização da atividade estatal.
Para resolver este dilema, fala-se na possibilidade de um en-
forcement soft pela DPA.
VI. CONCLUSÃO
A accountability da ANPD é de suma importância

para a proteção dos dados pessoais, especialmente após a
Emenda Constitucional n. 115/2022 que promoveu o direito
ao status de constitucional e fundamental23, alterando o teor
do inciso LXXIX, art. 5º da Constituição Federal.
Considerando a juventude da LGPD, ainda é cedo para
saber ao certo como será o enforcement da lei pela ANPD,
ainda mais porque não transcorreu sequer um ano da entrada
em vigor dos artigos que disciplinam a aplicação das penali-
dades previstas na norma (agosto de 2021). Vive-se, ainda, a
expectativa sobre os termos em que a autoridade exercerá o
seu papel de agente sancionador.
BRASIL. Constituição (1988). Constituição Federal, de 05 de outubro

23
de 1988. Brasília, DF, Disponível em: <http://www.planalto.gov.br/cci-

vil_03/constituicao/constituicao.htm>. Acesso em: 13 maio 2022.
384
Afinal, para que a accountability se opere de modo

integral – answerability e enforcement – é preciso que ambas
as atribuições sejam exercidas de modo proporcional (fisca-
lização, pedidos de esclarecimento, apuração de denúncias
e sanção). O processo fiscalizatório e sancionador que não é
equilibrado implica em um accountability fraco.
A mesma preocupação se aplica ao enforcement soft, cir-
cunstância na qual há a punição, mas não na medida adequada – o
que significa que a atuação não terá a coercitividade necessária.
Por isso é necessário um contrapeso com a aplicação
das penalidades pela autoridade, especialmente para prevenir
que qualquer espécie de alegação de violação à proteção de
dados resulte em sanção. Tal tipo de conduta acabaria por
criar uma indústria de indenização que, ao final, pode tornar
descabida a lei.
Outro risco, no mesmo sentido, é o atropelamento da
DPA pelo Poder Judiciário, considerando a cultura brasileira
de resolver tudo no contencioso, sobretudo nas relações de
consumo, sob o benefício da gratuidade judiciária e inversão
do ônus da prova. A admissão de demandas para apuração de
tratamento irregular de dados sem diálogo com os agentes de
tratamento e com a ANPD pode esvaziar a autoridade privi-
legiada do órgão para interpretar a LGPD e decidir de que
modo gerenciar a cultura de proteção de dados no Brasil.
Com relação à Medida Provisória que alterou o re-
gime da autoridade, desvinculando-a em relação ao Poder
Executivo, esta lhe trouxe a necessária independência que
será de suma importância ao seu fortalecimento – conse-
quentemente auxiliando e ampliando na função de garanti-
dora da accountability.
385
Daí porque é importante urgir ao Congresso Nacional

pela conversão da MP em Lei, permitindo que o Brasil esteja
cada vez mais próximo ao que se põe, mundialmente, como
adequado em termos de proteção de dados.
VII. REFERÊNCIAS
BRASIL; Guia orientativo. Tratamento de Dados Pessoais

pelo Poder Público. Gov.Br. Presidência da República; Dis-
ponível em: https://www.gov.br/anpd/pt-br/documentos-
-e-publicacoes/guia-poder-publico-anpd-versao-final.pdf.
Acesso em 06 de jul de 2022.
BRASIL; Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de

Proteção de Dados Pessoais (LGPD). Disponível em: <http://
www.planalto.gov.br/ccivil_03/_Ato2015-2018/2018/Lei/
L13709.htm>. Acesso em 30 de abr. de 2022.
BRASI; Lei nº 13.853, de 8 de julho de 2019. Altera a Lei nº

13.709, de 14 de agosto de 2018, para dispor sobre a prote-
ção de dados pessoais e para criar a Autoridade Nacional de
Proteção de Dados; e dá outras providências. Disponível em:
lei/l13853.htm>. Acesso em 30 de abr. de 2022.
BRASIL; Medida Provisória n 1.124, de 13 de junho de 2022.

Altera a Lei nº 13.709, de 14 de agosto de 2018 - Lei Geral de
Proteção de Dados Pessoais, transforma a Autoridade Nacio-
nal de Proteção de Dados em autarquia de natureza especial
e transforma cargos em comissão. Disponível em: <http://
www.planalto.gov.br/ccivil_03/_Ato2019-2022/2022/Mpv/
mpv1124.htm>. Acesso em 30 de abr. de 2022.
386
BRASIL; Mesa redonda ressalta a importância da indepen-

dência da ANPD. Gov.Br. Presidência da República. Mar.
2022. Disponível em: <https://www.gov.br/anpd/pt-br/assun-
tos/noticias/mesa-redonda-ressalta-a-importancia-da-inde-
pendencia-da-anpd>. Acesso em 07 de maio de 2022.
BRASIL; Nota Técnica nº 25/2022/CGN/ANPD; Gov.Br. Pre-

sidência da República; Disponível em: <https://www.gov.br/
anpd/pt-br/acesso-a-informacao/auditorias-acoes-de-supervi-
sao-e-correicao/sei_00261-000027_2021_64-nt-n-25-relato-
rio-de-acompanhamento.pdf>. Acesso em 10 de jul de 2022
BRASIL. Resolução CD/ANPD nº 1, de 28 de outubro de

2021. Presidência da República. Diário Oficial da União;
Edição 205; Seção 1; Pág. 06. Disponível em: <https://www.
in.gov.br/en/web/dou/-/resolucao-cd/anpd-n-1-de-28-de-ou-
tubro-de-2021-355817513>. Acesso em 9 de jul de 2022.
BRASIL; Sanções administrativas o que muda após o 1º de

agosto de 2021. Gov.Br. Presidência da República; Dispo-
nível em: https://www.gov.br/anpd/pt-br/assuntos/noticias/
sancoes-administrativas-o-que-muda-apos-1o-de-agosto-
-de-2021 Acesso em 24 de out de 2021
GROSMANN, Luís Osvaldo; ANPD ganha independência e

vira autarquia especial. Convergência Digital. Disponível em:
<https://www.convergenciadigital.com.br/Governo/ANPD-ga-
nha-independencia-e-vira-autarquia-especial-60577.html?Use-
rActiveTemplate=mobile>. Acesso em 04 de jul de 2022
MENDES, Laura Schertel. Privacidade, proteção de dados e

defesa do consumidor: linhas gerais de um novo direito fun-
damental. São Paulo: Saraiva, 2014
387
Motta, Clara Amédée Péret. A ANPD e a preocupação com sua

natureza jurídica. Migalhas. abr. 2021 Disponível em: <https://
www.migalhas.com.br/depeso/344752/a-anpd-e-a-preocupa-
cao-com-sua-natureza-juridica>. Acesso em 27 de abr. de 2022.
Nonato, Alessandro Anilton Maia. A Autoridade Nacional de
Proteção de Dados Pessoais (ANPD) é uma agência regula-
dora?. DireitoNet. Set. 2020. Disponível em: <https://www.
direitonet.com.br/artigos/exibir/11871/A-Autoridade-Nacio-
nal-de-Protecao-de-Dados-Pessoais-ANPD-e-uma-agencia-
-reguladora>. Acesso em 05 de maio de 2022.
QUEIROZ, Luiz. ANPD fiscaliza compartilhamento de dados

da Receita Federal para terceiros via Serpro. Capital Digital.
Disponível em: <https://capitaldigital.com.br/anpd-fiscaliza-
-compartilhamento-de-dados-da-receita-federal-para-tercei-
ros-via-serpro/>. Acesso em 29 de jun de 2022
Robl Filho, Ilton Norberto. Conselho Nacional de Justiça :

Estado democrático de direito e accountability, 1ª Edição..
Disponível em: Minha Biblioteca, Editora Saraiva, 2012
388
LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS

NA SAÚDE: DESAFIOS NA SUA APLICAÇÃO NOS
ESTABELECIMENTOS DE SAÚDE
Janaina Ageitos Martins De’ Carli1
I. OS DESAFIOS ENFRENTADOS NA
IMPLEMENTAÇÃO DA CULTURA DA PRIVACIDADE
NA TELEMEDICINA.
O cuidado com a preservação da intimidade, do sigilo

e da privacidade não é algo novo. A evolução histórica e das
relações humanas revelou a importância de “direito de estar
só” (the right to bel et alone”).
No ano de 1948, com o surgimento da Declaração
Universal dos Direitos Humanos, teve-se início o registro das
primeiras menções do que futuramente viria a ser a proteção
de dados pessoais. Na Declaração, em seu artigo 12, diz que:
Art. 12. Ninguém será sujeito à interferência na
sua vida privada, na sua família, no seu lar ou na
sua correspondência, nem a ataque à sua honra
e reputação. Todo ser humano tem direito à pro-
teção da lei contra tais interferências ou ataques.
Em 1950, foi criada a Convenção Europeia para a

Proteção dos Direitos do Homem e das Liberdades Funda-
mentais em seu artigo 8º, estabelece que:
1
Advogada. Pós-graduada em Direito Civil e Direito Processual Civil pela Faculdades
Metropolitanas Unidas Educacionais Ltda (FMU). Mestre pela Universidade Federal
do Vale do São Francisco (UNIVASF). E-mail: janaina.ageitos@gmail.com
389
Direito ao respeito pela vida privada e familiar

1. Qualquer pessoa tem direito ao respeito da
sua vida privada e familiar, do seu domicílio
e da sua correspondência.
2. Não pode haver ingerência da autoridade

pública no exercício deste direito senão quan-
do esta ingerência estiver prevista na lei e
constituir uma providência que, numa socie-
dade democrática, seja necessária para a segu-
rança nacional, para a segurança pública, para
o bem - estar económico do país, a defesa da
ordem e a prevenção das infracções penais, a
proteção da saúde ou da moral, ou a proteção
dos direitos e das liberdades de terceiros.
A partir de então, o tema fui objeto de muita discussão

no século XXI até os dias de hoje, considerado, mais recen-
temente, como um direito fundamental que consta positivado
em nossa Constituição Federal.
O desenvolvimento e o progresso do setor industrial,
em conjunto com o fenômeno do compartilhamento de da-
dos, fez surgir a necessidade de regulamentar a forma de
tratamento que tais informações deveriam ter. A vanguardis-
ta Alemanha, inaugurou esse debate na década de 70, e em
1978, implementaram a legislação que acabou por difundir
nos demais países vizinhos, contribuindo para que cada um
deles desenvolvessem sua própria normativa.
Em 1981, o Conselho Europeu desenvolveu a primeira
Convenção para a Proteção Pessoal em relação ao tratamen-
to automatizado de dados de Caráter Pessoal, porque existia
a preocupação com o compartilhamento e transferência de
dados pessoais e ganhava proporções exponenciais jamais
experimentadas anteriormente.
Enquanto isso, no Brasil, era promulgada a Constitui-
390
ção da República Federativa em 1988 e dispunha no seu ar-

tigo 5º, inciso X, a garantia da inviolabilidade da intimidade,
vida privada, assim exposto:
Art. 5º Todos são iguais perante a lei, sem
distinção de qualquer natureza, garantidos e
aos brasileiros e aos estrangeiros residentes
no País a inviolabilidade do direito à vida, à
liberdade, à igualdade, à segurança e à pro-
priedade, nos termos seguintes:
X - são invioláveis a intimidade, a vida pri-

vada, a honra e a imagem das pessoas, asse-
gurado o direito a indenização pelo dano ma-
terial ou moral decorrente de sua violação;
Já na década de 90, o Brasil avançou poucos passos na

temática e a normatização contemplava a tutela das relações
de consumo na Lei Federal nº 8.078/90.
Importante mencionar que o Código de Defesa do Con-
sumidor, apesar de versar sobre os direitos e obrigações que
envolvem as relações entre empresas e consumidores, tem par-
te dedicada aos cadastros e bancos de dados. O objetivo era
regulamentar e proteger, mesmo que de forma genérica, as in-
formações prestadas pelos consumidores, frente as empresas.
A título exemplificativo, temos o artigo 43, confira-se:
Art. 43. O consumidor, sem prejuízo do dispos-
to no art. 86, terá acesso às informações exis-
tentes em cadastros, fichas, registros e dados
pessoais e de consumo arquivados sobre ele,
bem como sobre as suas respectivas fontes.
§ 1° Os cadastros e dados de consumidores

devem ser objetivos, claros, verdadeiros e
em linguagem de fácil compreensão, não po-
dendo conter informações negativas referen-
tes a período superior a cinco anos.
391
§ 2° A abertura de cadastro, ficha, registro e

dados pessoais e de consumo deverá ser co-
municada por escrito ao consumidor, quando
não solicitada por ele.
§ 3° O consumidor, sempre que encontrar

inexatidão nos seus dados e cadastros,
poderá exigir sua imediata correção, de-
vendo o arquivista, no prazo de cinco dias
úteis, comunicar a alteração aos eventuais
destinatários das informações incorretas.
§ 4° Os bancos de dados e cadastros relativos

a consumidores, os serviços de proteção ao
crédito e congêneres são considerados enti-
dades de caráter público.
§ 5° Consumada a prescrição relativa à

cobrança de débitos do consumidor, não
serão fornecidas, pelos respectivos Sistemas
de Proteção ao Crédito, quaisquer informa-
ções que possam impedir ou dificultar novo
acesso ao crédito junto aos fornecedores.
§ 6° Todas as informações de que trata o

caput deste artigo devem ser
disponibilizadas em formatos acessíveis,

inclusive para a pessoa com deficiên-
cia, mediante solicitação do consumidor.
(Incluído pela Lei nº 13.146, de 2015).
Posteriormente, em 1996, a Lei Federal nº 9.296/96,

acrescentou o inciso XII, ao artigo 5° da CF/88, contemplan-
do mais hipóteses que configuram e compreendem violações
aos direitos individuais, abarcando a incidência dos dados e
informações de cunho pessoal, segundo os quais:
392
XII - é inviolável o sigilo da correspondência

e das comunicações telegráficas, de dados e
das comunicações telefônicas, salvo, no últi-
mo caso, por ordem judicial, nas hipóteses e na
forma que a lei estabelecer para fins de inves-
tigação criminal ou instrução processual penal.
Enquanto isso, no continente europeu, vivenciava um ama-

durecimento maior em relação a proteção e privacidade de dados
pessoais com a publicação da Diretiva 95/96/CE no ano de 1995.
Na referida diretiva conceituou a proteção de dados
pessoais em patamares mais robustos e o intuito de comba-
ter arbitrariedades e transformar os serviços de tratamento de
dados em ferramentas a serviço do usuário, e não o contrário.
Em razão de tal avanço, a comunidade europeia se tornou
pioneira no assunto.
No dia 25 de maio de 2018, entrou em vigor na
União Europeia o “General Data Protection Regulation”
- GDPR, também conhecido como Regulamento Geral de
Proteção de Dados, tal normativa substituiu a antiga Di-
retiva 95/46/CE. O GDPR veio à tona com o propósito de
encadear todos os seus regulamentos e normativas em um
só dispositivo, de modo mais rigoroso, entretanto, também
foi alvo de readequações, detalhamentos e aprofundamen-
tos, dando a matéria de privacidade e proteção de dados
pessoais um ar de maior segurança, refino, englobando si-
tuações e parâmetros que antes não salvaguardava. Desse
modo, toda a União Europeia e no espaço Econômico Eu-
ropeu estavam acobertados por tal normativa, e deviam se-
guir suas indicações de maneira harmônica e construtiva,
com suas legislações internas.
Finalmente foi promulgada a lei Geral de Proteção de
Dados Pessoais no Brasil (Lei Federal nº 13.709/18) poucos
meses após a eficácia plena do Regulamento Europeu. A lei
393
brasileira está em vigor desde 18/09/2020 e é bastante similar

à lei europeia (MALDONADO, 20222).
Enquanto a Europa foi pioneira no tema envolvendo
a privacidade e proteção de dados pessoais, nosso continen-
te latino-americano por ter tido influência das ideias norte-
-americanos, tais como liberdade de expressão e respeito às
liberdades individuais, hoje, notamos que há no Brasil uma
resistência e dificuldade na cultura da privacidade.
Isso se reflete em um maior esforço educacional para
a mudança da cultura e vulnerabilidade com objetivo de di-
minuir o impacto que a Lei Geral de Proteção de Dados Pes-
soais – LGPD vem causando no país.
A privacidade e a proteção dos dados pessoais é uma
realidade.
A aplicação dos conceitos, fundamentos e princípios
da Lei Geral de Proteção de Dados Pessoais ganha maior im-
portância quando aplicava ao setor da saúde, especialmente,
o sistema de saúde privada existente no país.
II. NORMAS RELACIONADAS A PRIVACIDADE, PRO-

TEÇÃO DE DADOS PESSOAIS E O SETOR DA SAÚDE
Sabemos que o tratamento de dados é toda operação reali-

zada com dados pessoais, desde a coleta, recepção, uso, processa-
mento, armazenamento e descarte. Assim, todos que tratam dados
com finalidade econômica devem estar adequados à LGPD.
Além disso, toda informação relacionada a saúde,
orientação sexual, convicção religiosa, origem racial ou
étnica, dados genéticos ou biométricos, são considerados
Dados Sensíveis – porque podem gerar discriminação.
394
Mas como isso afetaria a área da saúde?

O perfil do paciente, a prevalência de doenças crôni-
cas, a mudança de paradigma etário da população brasilei-
ra, a atenção ao paciente e não somente em sua doença, a
promoção à saúde, o tratamento /monitoramento preventivo,
a prevenção de diagnósticos e tratamentos mais efetivos, o
compartilhamento de exames, dados de saúde (transparên-
cia), todas essas atividades são exemplos de tratamento de
dados pessoais na área da saúde.
Além da LGPD, existem diversas normas do setor da
saúde que tratam sobre a privacidade, sobre a proteção de
dados pessoais dos pacientes, a saber:
(i) Resolução 1.605/2000, CFM: médico não
pode, sem consentimento do paciente, revelar
o conteúdo do prontuário ou ficha médica.
(ii) Resolução 1.638/2002, CFM: define prontuário
médico e informa a responsabilidade pelo pron-
tuário é do médico assistente e dos demais pro-
fissionais que compartilharam o atendimento.
(iii) Resolução 1.821/2007, CFM: Digitalização e
uso de sistemas informatizados para guarda de
prontuários e documentos dos pacientes.
(iv) Lei 13.787/2018: prontuário eletrônico, trata
sobre guarda, armazenamento, manuseio.
(v) Resolução 2.217/2018 CFM: Código de ética
médico: garantir sigilo do prontuário médico.
(vi) Resolução 162 da ANS: Procedimento adminis-
trativo para comprovação do conhecimento pré-
vio de doença ou lesão preexistente pelo bene-
ficiário de plano privado de assistência à saúde.
(vii) Resolução 44 da ANVISA: Boas práticas far-
395
macêuticas para o site eletrônico assegurar

confidencialidade dos dados, privacidade do
usuário e evitar de acessos indevidos ou não
autorizados para garantir sigilo.
(viii) Resolução 2.264/19 CFM: telepatologia como
forma de prestação de serviços.
(ix) Resolução 466 do CNS: TCLE deverá conter
obrigatoriamente garantia de manutenção do sigi-
lo e da privacidade dos pacientes da pesquisa du-
rante todas as fases e os impactos consequentes.
(x) Resolução 443/2019: implementação de pro-
grama de governança para gestão de riscos das
operadoras de saúde.
III. OS IMPACTOS DA LGPD NA EXPERIENCIA DO

PACIENTE

As organizações públicas e privadas deverão tratar com mais
segurança os dados dos cidadãos, e a dúvida que paira é sobre
como farão isso. Para que exista a conformidade, as empresas
precisarão padronizar seus procedimentos e processos inter-
nos, tendo em vista a necessidade de ser mais transparente
e eficaz, além de proporcionar e otimizar a experiência do
usuário, no caso, o paciente.
Os meios de comunicação com o cliente/paciente po-
dem ser divididos em duas categorias. A primeira realizada
por meio de envio de e-mail, SMS ou correspondência física
é a chamada de estratégia push (empurrar) e a segunda, de-
nominada de pull (puxar), refere-se às ações de motivas os
clientes a buscarem por conta própria o atendimento.
396
A área da saúde requer especial atenção porque nas

instalações clínicas, hospitalares e laboratoriais, qualquer ex-
posição de informações sobre pacientes devem ser cuidado-
samente planejadas, com medidas preventivas, tais como:
a) Expor ou utilizar informações de pacientes no esta-
belecimento somente após autorização formal dele;
b) Treinar a equipe com relação aos deveres, direitos
e punições relacionadas à LGPD;
c) Mapear, categorizar e monitorizar as informações
pessoais que circulam no estabelecimento de saúde;
d) Investir em soluções de segurança dos dados co-
letados;
e) Manter em constante monitoramento, as ações e revi-
são dos processos de tratamento dos dados pessoais;
IV. MELHORES PRÁTICAS DE PROTEÇÃO DE DA-

DOS PESSOAIS NA SAÚDE
Telemedicina
Ela permite a prática e o cuidado à saúde a distância,

utilizando a tecnologia para se conectar com o paciente.
Os cuidados devem ser relacionados à utilização de
um computador para uso exclusivo de atendimento aos pa-
cientes; possuir um sistema de backup e antivírus atualizado,
além da utilização de senhas fortes e que não devem ser com-
partilhadas com auxiliares e demais funcionários.
397
Termo de Consentimento Lido e Esclarecido
Descrever a forma e a duração do tratamento; descrever

como serão tratados dados pessoais e por qual período; Res-
ponsabilidade específica quando envolvidos em estudo clínico;
especificar o direito de revogar o consentimento do titular.
Prontuários médicos
É um documento único constituído de um conjunto

de informações, sinais, imagens, acontecimentos, situações
sobre a saúde do paciente e a assistência à ele prestada, de
caráter legal, sigiloso e cientifico.
Merecem atenção especial pela grande quantidade de
dados coletados e processados, especialmente, os dados sen-
síveis que jamais poderão ser usados de maneira discrimina-
tória ou abusiva, em prejuízo ao titular dos dados pessoais.
Quais cuidados se deve ter? Armazenar em local se-
guro e acesso restrito; evitar o acesso inadequado aos pron-
tuários por secretárias, auxiliares etc.;
Prontuário é sigiloso e pertence exclusivamente ao
paciente, portanto, confirmar a identidade na entrega, inclu-
sive de receitas e atestados; respeitar o prazo definido pelos
órgãos reguladores para o armazenamento, além disso, reque-
rerem atenção especial no compartilhamento com outros pro-
fissionais de equipe multidisciplinar.
398
Diante da perspectiva apresentada neste artigo, resta

evidente que a LGPD não veio para coibir ou engessar as
ações que envolvem os dados pessoais, tampouco é tido com
um risco ao desenvolvimento ou inovação tecnológica. Ela
busca promover e estabelecer ferramentas de controle e tu-
tela de direitos individuais e constitucionais que devem ser
valorizados, difundidos e aplicados diariamente, para que a
lei possa atingir sua finalidade máxima.
Assim, ao cumprir os requisitos de conformidade, a em-
presa que atua na área da saúde acaba por criar oportunidades
que mostram o cuidado e o respeito com as informações pessoais
de seus clientes e pacientes, construindo um relacionamento ba-
seado na confiança, que se reverte em fidelidade e engajamento.
V. REFERÊNCIAS
BRASIL. [Constituição (1988)]. Constituição da República Fe-

derativa do Brasil de 1988. Brasília, DF; Presidência da Repúbli-
ca, [2016]. Disponível em:<http://www.planalto.gov.br/ccivil_03/
Constituicao/Constituicao.htm>. Acesso em: 01 de jul. de 2022.
BRASIL. Lei n° 8.078, de 11 de setembro de 1990. Códi-
go de Defesa do Consumidor. Dispõe sobre a proteção do
consumidor e dá outras providencias. Disponível em: <http://
www.planalto.gov.br/ccivil_03/leis/L8078compilado.htm>.
Acesso em: 01 de jul. de 2022.
CAPEZ, Fernando. Lei Geral de Proteção de Dados: ori-
gem histórica. Brasil Econômico, 2020. Disponível em:
<https://economia.ig.com.br/colunas/defesa-do-consumi-
dor/2020-06-01/lei-geral-de protecao-de-dados-origem-his-
torica.html>. Acesso em: 02 de jul. de 2022.
399
DONEDA, Danilo. Prefácio. In: MAGRANI, E. A Internet

das Coisas. 1ª. ed. Rio de Janeiro: FGV Editora, 2018. Dispo-
nível em: <https://bibliotecadigital.fgv.br/dspace/bitstream/
handle/10438/23898/A%20internet%20das%20coisas.pdf>.
Acesso em: 30 de jun. de 2022.
DONEDA, Danilo. O vazamento de dados pessoas na iminên-
cia de regulação. Danilo Doneda, 2017. Disponível em: <http://
www.doneda.net/2017/05/10/o-vazamento-de-dadospessoais-na-
-iminencia-de-regulacao/>. Acesso em: 30 de jun. de 2022.
LEONARDI, Marcel. Tutela e privacidade na Internet.
São Paulo: Editora Saraiva, 2011. Disponível em: <ht-
tps://b ok.lat/book/4991396/78d793?regionChanged=&redi-
rect=39590985>. Acesso em: 02 de jul. de 2022.
MAGRANI, Eduardo. A Internet das Coisas. 1ª. ed. Rio de Ja-
neiro: FGV Editora, 2018. Disponível em: <https://biblioteca-
digital.fgv.br/dspace/bitstream/handle/10438/23898/A%20in-
ternet%20das%20coisas.pdf>. Acesso em: 30 de jun. de 2022.
MAGRINI, Eduardo. Democracia Conectada: a internet
como ferramenta de engajamento político-democrático.
Curitiba: Juruá Editora, 2014. Disponível em: <http://bibliote-
cadigital.fgv.br/dspace/bitstream/handle/10438/14106/Demo-
cracia%20conectada.pdf>. Acesso em: 30 de jun. de 2022.
MALDONADO, Viviane Nóbrega, coordenação. LGPD: Lei
Geral de Proteção de Dados Pessoais: manual de implementa-
ção. 3. ed. ver. e atual. São Paulo: Thomson Reuters Brasil, 2022.
TINOCO, Jorge Enrique de Azevedo. Evolução Histórica da
Proteção de Dados e o Direito à Privacidade. OBDI, 2020.
Disponível em: <https://obdi.ccsa.ufrn.br/2020/09/24/evolu-
caohistoricadaprotecaodedadoseodireitoaprivacidade/#:~:-
text=A%20primeira%20tentativa%20de%20normatizar%20
400
o%20uso%20dos,como%20a%20sueca%2C%20a%20
francesa%2C%20dinamarquesa%2C%20entre%20outras>.
Acesso em: 30 de jun. de 2022.
TRIBUNAL EUROPEU DOS DIREITOS HUMANOS; CON-
CELHO EUROPEU. Convenção Europeia dos direitos do
Homem. Roma: Tribunal Europeu dos Direitos Humanos, 1950.
Disponível em: <https://www.echr.coe.int/Documents/Conven-
tion_POR.pdf>. Acesso em: 30 de jun. de 2022.
UNICEF. Declaração Universal dos Direitos Humanos. Dis-
ponível em: <https://www.unicef.org/brazil/declaracao-univer-
sal-dos-direitos-humanos>. Acesso em: 30 de jun. de 2022.
401
A APLICAÇÃO DA LEI GERAL DE PROTEÇÃO DE

DADOS NO E-COMMERCE

Louana Costa e Maria Claudia
I. INTRODUÇÃO
O avanço tecnológico e as novas ferramentas

criadas para viabilizar as relações estabelecidas por meio
virtual, trouxeram consigo a explosão de negócios jurídicos
celebrados por este meio alternativo, fomentando e
impulsionando o comércio eletrônico – e-commerce.
A consequência lógica, apesar da existência de uma
norma geral que trata sobre a relação de consumo, Lei
80781 de 11 de setembro de 1990, popularmente conhecida
como Código de Defesa do Consumidor, legislação que
dispõe sobre os direitos e obrigações dos polos envolvidos,
composto em regra, por fornecedores, prestadores de
serviços e consumidores, percebeu-se a necessidade do
desenvolvimento de um regramento próprio, e que contivesse
no seu bojo, essa nova perspectiva de comércio eletrônico.
Em março de 2013, entrou em vigor a norma conhecida
como Lei do E-commerce (Decreto nº 79622 de 15 de março de
2013), com o objetivo de dispor sobre a contratação do comércio
eletrônico, impondo a obrigatoriedade de informações claras a
respeito do produto, serviço e do fornecedor, atendimento facilitado
ao consumidor, respeito ao direito de arrependimento, bem como
a necessidade de utilização de mecanismos de segurança eficazes
para o pagamento e para tratamento de dados3 do consumidor.
1
http://www.planalto.gov.br/ccivil_03/leis/l8078compilado.htm
2
http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2013/decreto/d7962.htm
3
Conceito definido no art. 5º, inc. X, da LGPD.
402
Apesar do avanço da legislação, propiciando

regras mais claras para a realização do comércio
eletrônico, o tratamento dos dados dos usuários,
especialmente a dos consumidores, carecia de regras
objetivas e sanções administrativas específicas, ainda
que o judiciário, utilizando normas constitucionais e
infraconstitucionais, inclusive a Lei 12.9654 de 23 de
abril de 2014 (conhecida como Marco Civil da Internet),
condenasse os fornecedores e prestadores de serviços,
na ocorrência de abuso ou a falta do dever de cuidado
no tratamento de dados dos usuários, na obrigação
de fazer ou deixar de fazer, além de perdas e danos.
II. CONTEXTO E ORIENTAÇÕES GERAIS DA LEI

GERAL DE PROTEÇÃO DE DADOS NO BRASIL.
Proteção de dados pessoais é o tema da atualidade,

apesar de existirem iniciativas legislativas anteriores a
LGPD, por exemplo, o Código de Defesa do Consumidor,
que já foi muito aplicado nas situações que envolvem dados
pessoais e relações de consumo. Além do Marco Civil da
internet entre outras normas, mas o legislador brasileiro,
seguindo o movimento mundial, identifica a necessidade
de criar uma legislação específica a Lei 13.7095 de 14 de
agosto de 2018 (Lei Geral de Proteção de Dados), que
dispõe sobre o tratamento de dados pessoais, inclusive nos
meios digitais, por pessoa natural ou por pessoa jurídica
de direito público ou privado, com o objetivo de proteger
os direitos fundamentais de liberdade e de privacidade e o
livre desenvolvimento da personalidade da pessoa natural.
http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2014/lei/l12965.htm
4
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm
5
403
Definindo, assim, o que pode ser feito com os dados pessoais

coletados, quando eles podem ser tratados e quais os direitos
garantidos aos titulares de dados.
Segundo Danilo Doneda6 o desenvolvimento histórico
da proteção de dados no Brasil está vinculado à proteção
dos direitos fundamentais de liberdade e de privacidade, e
buscava sempre estabelecer parâmetros na norma constitucional
e nas legislações ordinárias, o legislador brasileiro entendia
que seria possível tratar dados pessoais de forma satisfatória
com as legislações esparsas, sem considerar os riscos inerentes
ao tratamento de dados pessoais com o avanço da tecnologia.
O mais importante, contudo, é constatar que a criação da
LGPD estabeleceu diversas possibilidades de uso legítimo de
dados pessoas, visando criar regras uniformes sobre o fluxo e a
proteção de dados pessoais no Brasil.
O escopo da legislação é bastante amplo, de forma
geral, a LGPD estabelece parâmetros para que empresas
e organizações tratem dados pessoais com garantia
e segurança. Como dito anteriormente, é um marco
regulatório que visa criar diretrizes específicas sobre a
fluxo, coleta e tratamento de dados pessoais visando,
sempre, a proteção de dados pessoais, atinge o tratamento
de dados por meio físico ou digital, mas afetou direta e
significativamente as empresas que prestam serviços ou
comercializam os seus produtos por meio do comércio
eletrônico, e que tiveram aumento abrupto de vendas
e negócios celebrados, em decorrência da pandemia
causada pelo COVID-19, e o isolamento social imposto
pela administração pública em 2020/2021.
6
DONEDA, Danilo. Da Privacidade à Proteção de Dados Pessoais. São
Paulo: Thomson Reuters Brasil, ed. 2021. p. RB-4.1
404
As empresas que utilizam o comércio eletrônico, deverão

tratar os dados de seus usuários, o que acarreta na necessidade
de tratamento de toda a operação em que seja necessário o uso
dos dados pessoais, como as que se referem à coleta, produção,
recepção, classificação, utilização, acesso, reprodução, transmissão,
distribuição, processamento, arquivamento, armazenamento,
eliminação, avaliação ou controle da informação, modificação,
comunicação, transferência, difusão ou extração.
A obrigação basilar para as empresas que exploram
o comércio eletrônico é observar as regras impostas pela
LGPD no momento da coleta das informações pessoais
do usuário/consumidor, garantindo a manipulação dos
dados ocorra somente mediante expressa autorização,
indicando ainda os limites de utilização dos dados para o
fim específico que se destina, sob pena de não o fazendo,
ficarem expostas a sanções administrativas, sem prejuízo
as perdas e danos causados ao consumidor lesado.
Assim, é importante trazer para o debate os princípios
legais que devem servir como guia para qualquer tipo de
tratamento de dados pessoais. Para o direito os princípios
estão associados ao ponto de partida para um determinado
assunto ou questão, ou seja, servirão de base para o tratamento
de dados pessoais, incluindo o comércio eletrônico.
Muito embora já existisse disciplina sobre proteção
de dados fragmentada entres leis e decretos espalhados no
Brasil, que traziam, também, em algumas situações, questões
principiológicas, só com a promulgação da LGPD que foi
possível encontrar um eixo central para o tratamento de dados
pessoais no Brasil, que trouxe princípios específicos.
É importante destacar que, como Rony Vainzof7
expôs, além do agente de tratamento8 observar a base
7
VAINZOF, Rony. “Capítulo I – Disposições Preliminares”. In “LGPD – Lei Geral
de Proteção de Dados Comentada”. Coord. MALDONADO, Viviane Nóbrega;
OPICE BLUM, Renato. São Paulo: Thomson Reuters Brasil, 2020. p. RL-1.2
405
legal apropriada para o tratamento de dados pessoais,

deverá também, de forma independente, observar todos
os princípios legais trazidos pela LGPD. Assim, confira
abaixo o rol de princípios do artigo 6º da lei:

pessoais deverão observar a boa-fé e os
seguintes princípios:
I - finalidade: realização do tratamento para
propósitos legítimos, específicos, explícitos
e informados ao titular, sem possibilidade de
tratamento posterior de forma incompatível
com essas finalidades;
II - adequação: compatibilidade do tratamento
com as finalidades informadas ao titular, de
acordo com o contexto do tratamento;
III - necessidade: limitação do tratamento
ao mínimo necessário para a realização de
suas finalidades, com abrangência dos dados
pertinentes, proporcionais e não excessivos em
relação às finalidades do tratamento de dados;
IV - livre acesso: garantia, aos titulares, de
consulta facilitada e gratuita sobre a forma e
a duração do tratamento, bem como sobre a
integralidade de seus dados pessoais;
V - qualidade dos dados: garantia, aos
titulares, de exatidão, clareza, relevância
e atualização dos dados, de acordo com
a necessidade e para o cumprimento da
finalidade de seu tratamento;
VI - transparência: garantia, aos titulares,
de informações claras, precisas e facilmente
acessíveis sobre a realização do tratamento
e os respectivos agentes de tratamento,
observados os segredos comercial e industrial;
Conceito definido no art. 5º, inc. IX, da LGPD.

8
406
VII - segurança: utilização de medidas

técnicas e administrativas aptas a proteger os
dados pessoais de acessos não autorizados e de
situações acidentais ou ilícitas de destruição,
perda, alteração, comunicação ou difusão;
VIII - prevenção: adoção de medidas para
prevenir a ocorrência de danos em virtude
do tratamento de dados pessoais;
IX - não discriminação: impossibilidade
de realização do tratamento para fins
discriminatórios ilícitos ou abusivos;
demonstração, pelo agente, da adoção de medidas
eficazes e capazes de comprovar a observância e
o cumprimento das normas de proteção de dados
pessoais e, inclusive, da eficácia dessas medidas.
O princípio da finalidade impõe que o motivo da

coleta seja compatível com objetivo informado ao titular
de dados9, ou seja, o agente de tratamento deve sempre
observar a correspondência entre o tratamento de dados
e a finalidade informada ao titular de dados. De acordo
com Rony Vainzof esse princípio tem total conexão com
os princípios da adequação e da necessidade, formando
juntamente com o princípio da transparência um conjunto
de princípios determinantes para o respeito da proteção dos
direitos fundamentais de liberdade e privacidade. Assim,
para que haja um tratamento de dados pautado no princípio
da finalidade é importante informação prévia ao titular,
delimitando os motivos para o tratamento, garantindo,
assim, que não haverá tratamento posterior contrário à
finalidade previamente definida e aceita pelo titular.
O princípio da adequação está, como foi dito
anteriormente, intimamente ligado ao princípio da finalidade,
ou seja, o tratamento de dados pessoais somente poderá existir
se for compatível com as finalidades informadas ao titular.
9
Conceito definido no art. 5º, inc. V, da LGPD.
407
O princípio da necessidade restringe os dados

coletados aos estritamente necessário para cumprir a
finalidade informada ao titular de dados, deve-se analisar
quais dados são realmente imprescindíveis para se atingir
a finalidade pretendida pelo controlador10.
É extremamente importante frisar que a coleta
de dados em grande escala, principalmente no contexto
do comércio eletrônico não deve ser um impeditivo para
o avanço tecnológico, mas o agente de tratamento deve
seguir de forma precisa o conceito do mínimo necessário
para conseguir atingir a finalidade informada ao titular.
O princípio do livre acesso garante ao titular o
controle sobre os dados tratados pelo agente de tratamento.
Este princípio está aparente no caput do artigo 9º11 e,
também, foi incluído pelo legislador nos artigos 1812, 1913 e
10
Conceito definido no art. 5º, inc. VI, da LGPD.
11
Art. 9º O titular tem direito ao acesso facilitado às informações sobre o tratamento
de seus dados, que deverão ser disponibilizadas de forma clara, adequada e
ostensiva acerca de, entre outras características previstas em regulamentação para o
atendimento do princípio do livre acesso.
12
O titular dos dados pessoais tem direito a obter do controlador, em relação aos
dados do titular por ele tratados, a qualquer momento e mediante requisição: I -
confirmação da existência de tratamento; II - acesso aos dados; III - correção de
dados incompletos, inexatos ou desatualizados; IV - anonimização, bloqueio ou
eliminação de dados desnecessários, excessivos ou tratados em desconformidade
com o disposto nesta Lei; V - portabilidade dos dados a outro fornecedor de serviço
ou produto, mediante requisição expressa, de acordo com a regulamentação da
autoridade nacional, observados os segredos comercial e industrial; VI - eliminação
dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses
previstas no art. 16 desta Lei; VII - informação das entidades públicas e privadas
com as quais o controlador realizou uso compartilhado de dados; VIII - informação
sobre a possibilidade de não fornecer consentimento e sobre as consequências da
negativa; IX - revogação do consentimento, nos termos do § 5º do art. 8º desta Lei.
13
Art. 19. A confirmação de existência ou o acesso a dados pessoais serão providenciados,
mediante requisição do titular: I - em formato simplificado, imediatamente; ou II - por
meio de declaração clara e completa, que indique a origem dos dados, a inexistência
de registro, os critérios utilizados e a finalidade do tratamento, observados os segredos
comercial e industrial, fornecida no prazo de até 15 (quinze) dias, contado da data do
requerimento do titular. § 1º Os dados pessoais serão armazenados em formato que
favoreça o exercício do direito de acesso. § 2º As informações e os dados poderão ser
fornecidos, a critério do titular: I - por meio eletrônico, seguro e idôneo para esse fim;
408
2014, que trata dos direitos do titular de dados pessoais.

O princípio da qualidade dos dados está ligado a exatidão
dos dados coletados, ou seja, é imprescindível que controlador dê
garantias ao titular sobre a clareza, relevância e atualização dos
dados, assegurando, por exemplo, a correção de dados equivocados.
O princípio da transparência está estritamente
relacionado a todo fluxo de tratamento de dados pessoais.
O controlador precisa informar detalhes do tratamento de
dado, assegurando informações claras, precisas e facilmente
acessíveis sobre a realização do tratamento e sobre os
respectivos agentes de tratamento, resguardados os segredos
industriais e comerciais. No âmbito do comércio eletrônico, a
política de privacidade ou aviso de privacidade disponibilizada
de forma fácil, com termos e conceitos direcionados para o
público-alvo do controlador é um documento importante
para atender ao princípio da transparência, falaremos sobre
documentos no próximo tópico.
O princípio da segurança está relacionado com a
técnica da ciência da computação, ou seja, o agente de
tratamento deverá observar medidas técnicas, seguras,
ou II - sob forma impressa. § 3º Quando o tratamento tiver origem no consentimento
do titular ou em contrato, o titular poderá solicitar cópia eletrônica integral de
seus dados pessoais, observados os segredos comercial e industrial, nos termos de
regulamentação da autoridade nacional, em formato que permita a sua utilização
subsequente, inclusive em outras operações de tratamento. § 4º A autoridade nacional
poderá dispor de forma diferenciada acerca dos prazos previstos nos incisos I e II
do caput deste artigo para os setores específicos.
14
Art. 20. O titular dos dados tem direito a solicitar a revisão de decisões tomadas
unicamente com base em tratamento automatizado de dados pessoais que afetem
seus interesses, incluídas as decisões destinadas a definir o seu perfil pessoal,
profissional, de consumo e de crédito ou os aspectos de sua personalidade.
§ 1º O controlador deverá fornecer, sempre que solicitadas, informações claras e
adequadas a respeito dos critérios e dos procedimentos utilizados para a decisão
automatizada, observados os segredos comercial e industrial.
§ 2º Em caso de não oferecimento de informações de que trata o § 1º deste artigo
baseado na observância de segredo comercial e industrial, a autoridade nacional
poderá realizar auditoria para verificação de aspectos discriminatórios em
tratamento automatizado de dados pessoais.
409
adequadas, disponíveis à época do tratamento de dados,

capazes de minimizar qualquer tipo de risco com relação a
vazamento de dados pessoais, compartilhamento ou qualquer
alteração indevida.
O princípio da prevenção tem conexão com o
princípio da segurança, pois pretende garantir a legalidade
dos procedimentos adotados pelos agentes de tratamento.
A LGPD estabelece que os agentes de tratamento poderão
formular regras de boas práticas e governança que estabeleçam
as condições de organização, o regime de funcionamento, os
procedimentos, incluindo reclamações e petições de titulares,
as normas de segurança, os padrões técnicos, as obrigações
específicas para os diversos envolvidos no tratamento, as
ações educativas, os mecanismos internos de supervisão
e de mitigação de riscos e outros aspectos relacionados ao
tratamento de dados pessoais15.
O princípio da não descriminalização é fundamental
para que o agente de tratamento aplique medidas técnicas e
organizacionais com o intuito de impossibilitar o tratamento de dados,
especificamente de dados sensíveis16, para fins discriminatórios.
Não obstante, vale mencionar que a proteção dos dados sensíveis
está prevista na Secção II do Capítulo II na LGPD.
O princípio da responsabilização e da prestação de
contas tem conexão com a eficácia das medidas de segurança,
técnicas e administrativas adotadas pelos agentes de tratamento
para atingir a finalidade pretendida com a coleta de dados
pessoais. É importante deixar claro que o agente de tratamento
deverá ter uma justificativa legal para o tratamento de dados
pessoais e assegurar que todas as medidas necessárias para
garantir a proteção dos dados pessoais foram adotadas.
A LGPD prevê que o controlador ou o operador17, que,
15
Artigo 50 da Lei Geral de Proteção de Dados.
16
Conceito definido no art. 5º, inc. II, da LGPD
17
Conceito no artigo 5º, inciso VII da LGPD.
410
em razão do exercício de atividade de tratamento de dados

pessoais, causar a outrem dano patrimonial, moral, individual ou
coletivo, em violação à legislação de proteção de dados pessoais,
é obrigado a repará-lo18. Assim, o agente de tratamento deverá
demonstrar que adotou procedimentos internos capazes de
garantir a segurança dos dados pessoais durante todo o fluxo de
tratamento de dados, cumprindo, assim, com as exigências legais.
III. DOCUMENTOS IMPORTANTES PARA ATINGIR

A CONFORMIDADE COM A LGPD.
Após analisar os princípios legais trazidos pela

LGPD, é possível identificar a necessidade de as empresas
prestarem atenção na elaboração, revisão e manutenção
de documentos importantes para conformidade com a
legislação, tal exigência encontra-se fundamentada no
princípio da transparência19 e da responsabilização e
prestação de contas20, que pressupões o dever de informar
ao titular de dados de forma transparente e também prestar
contas à Autoridade Nacional de Proteção de Dados sobre a
eficácia e a legalidade das medidas adotadas para garantir o
tratamento de dados pessoais será feito de forma segura21.
É muito importante que esses documentos sejam
revisados constantemente para assegurar que o tratamento de
dados pessoais estará, durante todo o ciclo de vida dos dados,
em conformidade com os princípios e fundamentos da LGPD.
Assim, demonstrada a necessidade de documentar

as atividades relacionadas com o tratamento de dados
18
Artigo 42 da Lei Geral de Proteção de Dados.
19
Artigo 6º, inciso VI da LGPD
20
Artigo 6º, inciso X da LGPD
21
Artigo 29. A autoridade nacional poderá solicitar, a qualquer momento,
aos órgãos e às entidades do poder público a realização de operações de
tratamento de dados pessoais, informações específicas sobre o âmbito e a
natureza dos dados e outros detalhes do tratamento realizado e poderá emitir
parecer técnico complementar para garantir o cumprimento desta Lei.
411
pessoais, é preciso detalhar três importantes documentos

para o comércio eletrônico, que são: termo de uso, política
de privacidade e contratos (controlador-operador).
O Termo de uso tem a finalidade de informar,
definir regras a serem seguidas pelos usuários, para acesso
e uso do site. É uma espécie de contrato de adesão22,
quando o fornecedor de produtos ou serviços estabelece
unilateralmente os direitos e obrigações de cada parte, sem
que o consumidor possa discutir ou modificar.
Enquanto a Política de Privacidade tem como objetivo
ser transparente com o titular de dados, informando, com
exatidão e relevância, quais dados são coletados do titular
e para qual finalidade, ou seja, um documento que tem
como objetivo “descrever ao titular dos dados pessoais, os
procedimentos e processo adotados no tratamento de dados
pessoais realizado pelo serviço, bem como informá-los
sobre as medidas de proteção de dados pessoais adotadas23.
É importante constar no Aviso de Privacidade as cláusulas de
privacidade, informando: quais dados serão coletados; qual
é a finalidade do tratamento, se haverá compartilhamento
dos dados com terceiros, bem como, a forma e duração do
tratamento, observados os segredos comercial e industrial.
Por todo o exposto, é essencial que as empresas

atualizem o seu Termo de Uso, Política de Privacidade,
entre outros, adequando ao que dispõe a LGPD, prestando
22
Art. 54. Contrato de adesão é aquele cujas cláusulas tenham sido
aprovadas pela autoridade competente ou estabelecidas unilateralmente
pelo fornecedor de produtos ou serviços, sem que o consumidor possa
discutir ou modificar substancialmente seu conteúdo.
23
BRASIL. MINISTÉRIO DA ECONOMIA. Guia de elaboração
de Termo de Uso e Política de Privacidade para serviços públicos.
Disponível em: https://www.gov.br/governodigital/pt-br/seguranca-e-
protecao-de-dados/guias/guia_tupp.pdf. Acesso em 16 julho. 2022.
412
informações claras e de forma detalhada sobre o uso e

tratamento de dados pessoais, bem como sobre a finalidade
da coleta, para que o usuário possa ter ciência inequívoca, e
possa de forma consciente, consentir de forma expressa por
meio de autorização específica.
As atualizações necessárias nos citados documentos,
poderão variar, dependendo da atividade ou serviço prestado
pelas empresas, mas a regra geral é que deverá conter e
resguardar os seguintes direitos dos usuários:
• O detalhamento da finalidade da coleta de dados, desde o

acesso ao sítio de internet, aplicativo ou similares, utilizado
para o comércio eletrônico;
• A garantia de que os seus dados pessoais serão tratados;
• A garantia de que poderá acessar os seus dados pessoais;
• O acesso e possibilidade de corrigir os dados pessoais que
considerar incompletos, com informações equivocadas ou
que não estejam atualizados;
• A garantia de que no tratamento de dados pessoais,
em relação a aqueles que julgarem excessivos ou em
desconformidade com as regras da LGPD, poderá eliminar
ou anonimizar os dados;
• A informação sobre o compartilhamento dos seus dados e
a garantia de que poderá obter as informações sobre quem
recebeu os seus dados;
• A garantia de que o usuário será informado em caso de
alterações das informações e, no caso em que é exigido o
consentimento, a possibilidade de revogação em caso de
discordância;
• Definição das políticas de segurança e proteção de dados.
Importante ressaltar que o controlador de dados
também deve informar sobre a coleta de cookies24, que é
413
um pequeno arquivo enviado ao navegador do usuário, que

registra as suas preferências quando do acesso à página
de comércio eletrônico, de determinado prestador de
serviço ou fornecedor. Essa informação deverá ocorrer de
forma imediata e simples, quando do acesso pelo usuário,
necessitando ainda de um consentimento específico25.
Além do Termo de Uso e da Política de Privacidade
é importante discorrer sucintamente sobre o contrato entre
controlador e operador que servirá para ter delimitado,
entre os agentes de tratamento, as responsabilidades e os
riscos, além das sanções que estão sujeitos, no caso de
descumprimento das cláusulas contratuais.
Observa-se que para o regulamento europeu (GDPR)
o controlador deve firmar um Acordo de Tratamento (Data
Processing Agreement) com qualquer empresa que efetue
o tratamento de dados pessoais em seu nome (operador),
conforme disposto no artigo 28, seção 3 do GDPR26:
Para Walter Capanema, o contrato entre controlador e
operador é um contrato de prestação de serviço que deverá conter
cláusulas específicas sobre as responsabilidades de cada parte no
tratamento de dados pessoais, conforme exposto abaixo:
Recomenda-se que esse contrato seja
escrito, contendo as seguintes cláusulas:
a) Definição dos serviços a serem prestados:
é aqui o objeto do contrato. Deve-se incluir
as espécies de atividades de tratamento
de dados que serão realizadas (coleta,
armazenamento, análise etc.);
b) Definição de quais dados pessoais
24
https://www.tecmundo.com.br/web/1069-o-que-sao-cookies-.htm
https://www.ecommercebrasil.com.br/noticias/anpd-coleta-de-cookies-portal-gov-br/
25
https://gdpr.eu/what-is-data-processing-agreement/?cn-reloaded=1.
26
Acessado em 16 de julho de 2022.
414
serão tratados: deve-se estabelecer,

também os tipos de dados, os titulares e as
finalidades específicas dos tratamentos.
c) Colaboração na hipótese de incidentes
de segurança: a LGPD impõe ao
controlador o dever de notificar “a
ocorrência de incidente de segurança que
possa acarretar risco ou dano relevante
aos titulares” (art. 48, caput) aos titulares
e à ANPD. Se é o operador quem executa
a atividade, será ele quem identificará, a
princípio, o incidente. Deverá, por força
contratual, comunicá-lo, tão logo saiba, ao
controlador, auxiliá-lo a prestar a referida
notificação e nas atividades de contenção,
erradicação do incidente e recuperação
dos dados pessoais e dos sistemas.
d) Confidencialidade: por dizer respeito
à dados pessoais e à segredos comerciais,
é imperioso a definição de cláusula de
confidencialidade, com pesada multa em
caso de desobediência.
e) Subcontratação a um novo operador

apenas com expressa e escrita autorização
do controlador: o contrato entre as partes
é intuitu personae. A subcontratação deve
ser desestimulada, afinal, havendo mais
um elemento na atividade de tratamento
de dados, existirá, por conseguinte, um
incremento no risco. E, se ocorrer, só com
autorização escrita e expressa do controlador.
f) Dever de proteção e segurança
dos dados pessoais, atendendo à
determinados requisitos técnicos;
g) Fiscalização: permissão para que o
Controlador, o seu Encarregado/DPO
ou outra pessoa indicada por eles possa
verificar o atendimento das cláusulas
415
contratuais pelo operador. Não pode

o operador ser obrigado a permitir a
fiscalização dos seus segredos comerciais
e industriais;
h) Auxiliar o controlador a atender às
solicitações e requerimentos do titular
no atendimento dos seus direitos: nesse
caso, seria interessante a definição de
prazos de atendimento, de acordo com
o direito a ser exercido. Obviamente,
esses prazos deverão estar nos limites
definidos pela ANPD.
i) Exclusão de dados: Os dados pessoais
deverão ser apagados somente com a
autorização expressa do controlador, e
incluirá, também, as cópias de segurança e
as de eventuais parceiros e subcontratantes27
Mesmo que a LGPD não tenha estabelecido

obrigações para firmar um contrato específico sobre proteção
de dados pessoais, o controlador e o operador precisam impor
regras sobres responsabilidades relacionadas ao tratamento
de dados pessoais. E dessa forma, garantir que ambos
entendam suas obrigações e responsabilidades, bem como,
auxiliar na conformidade com a LGPD e no cumprimento de
direito dos titulares de dados.
I. Atender as solicitações dos titulares.
A Lei Geral de Proteção de Dados (LGPD) elenca de forma

expressa quais são os direitos assegurados aos titulares de
dados pessoais. Dispõe também que toda pessoa natural tem
assegurada a titularidade de seus dados pessoais e garantidos
CAPANEMA, Walter Aranha. “Capítulo 9 – Elaboração e Revisão de

27
Documentos”. In “Manual do DPO”. Coord. MALDONADO, Viviane

Nóbrega. São Paulo: Thomson Reuters Brasil, 2021. p. RB-9.6.
416
os direitos fundamentais de liberdade, de intimidade e de

privacidade, nos termos da Lei28.
Assim, são direitos do titular de dados pessoais:
I) confirmação da existência de tratamento, que tem relação com

o princípio da transparência (Artigo 6º, inciso VI da LGPD);
II) acesso aos dados, o titular dos dados tem o direito de
obter do agente de tratamento a confirmação de que os
dados pessoais que lhe digam respeito são ou não objeto de
tratamento e, se for esse o caso, direito de saber a finalidade
do tratamento, as categorias dos dados pessoais tratados, etc;
III) correção de dados incompletos, inexatos ou desatualizados,
o legislador se preocupou em garantir a identificação correta
do titular de dados evitando, dessa forma, fraudes; IV)
anonimização, (feita sempre que possível, observando o
que dispõe do legislador sobre o tema artigo 7º, inciso IV29,
11, inciso II, c30, 13, caput31, e 16, inciso II32) bloqueio (é
a suspensão temporária, conforme conceituado pela própria
LGPD no artigo 5º, inciso XIII) ou eliminação de dados
desnecessários, excessivos ou tratados em desconformidade
Artigo 17 da LGPD
28
Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas

29
seguintes hipóteses: IV - para a realização de estudos por órgão de pesquisa,

garantida, sempre que possível, a anonimização dos dados pessoais;
30
Art. 11. O tratamento de dados pessoais sensíveis somente poderá ocorrer nas
seguintes hipóteses: II - sem fornecimento de consentimento do titular, nas hipóteses
em que for indispensável para: c) realização de estudos por órgão de pesquisa,
garantida, sempre que possível, a anonimização dos dados pessoais sensíveis;
31
Art. 13. Na realização de estudos em saúde pública, os órgãos de pesquisa
poderão ter acesso a bases de dados pessoais, que serão tratados exclusivamente
dentro do órgão e estritamente para a finalidade de realização de estudos e
pesquisas e mantidos em ambiente controlado e seguro, conforme práticas de
segurança previstas em regulamento específico e que incluam, sempre que
possível, a anonimização ou pseudonimização dos dados, bem como considerem
os devidos padrões éticos relacionados a estudos e pesquisas.
32
Art. 16. Os dados pessoais serão eliminados após o término de seu tratamento, no âmbito e nos
limites técnicos das atividades, autorizada a conservação para as seguintes finalidades: IV - uso
exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados.
417
com o disposto na Lei (é apensas eliminar os dados que são

comprovadamente desnecessários, excessivos ou tratados de
forma ilícita); V) portabilidade dos dados a outro fornecedor
de serviço ou produto, mediante requisição expressa, de acordo
com a regulamentação da autoridade nacional, observados os
segredos comercial e industrial, é possibilidade de receber do
controlador os dados pessoais de forma estrutura, que possam
ser transmitidas a outro controlador; VI) eliminação dos dados
pessoais tratados com o consentimento do titular, exceto nas
hipóteses previstas no art. 16 desta Lei, ou seja, na hipótese de o
titular deixar de autorizar o tratamento de dados, quando a base
legal for o consentimento33, o controlador deverá eliminar os
dados; VII) informação das entidades públicas e privadas com
as quais o controlador realizou uso compartilhado de dados,
com esse direito o legislador assegura ao titular de dados, o
controle sobre seus dados pessoais, buscando informações sobre
quais organizações pública ou privada recebeu seus dados de
forma compartilhada; VIII) informação sobre a possibilidade
de não fornecer consentimento e sobre as consequências
da negativa, esse direito deixa claro que o controlador deve
assegurar ao titular de dados a possibilidade de não fornecer o
consentimento e quais seriam as consequências; IX) revogação
do consentimento, nos termos do § 5º do art. 8º desta Lei, o
consentimento é uma das dez bases legais para o tratamento
de dados pessoais trazidas pelo legislador, o titular de dados
poderá revogá-lo a qualquer momento34. A Lei Geral de
Proteção de dados também dispõesobre os direitos dos titulares
Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas

33
seguintes hipóteses: I - mediante o fornecimento de consentimento pelo titular;
418
nos artigos 1935, 2036, 2137 e 2238, desta forma, o legislador

assegurou ao titular de dados o benefício de questionar ao
controlador se seus direitos estão sendo atendidos, desta forma,
o controlador deverá processar a solicitação do titular, dentro
do prazo legal, e verificar se deverão ser atendidas, ou não.
E, nesse contexto, para o comércio eletrônico é extremamente
importante que se mantenha um canal específico para a
comunicação com o titular, viabilizando o exercício de tal
direito de forma precisa, ampla, transparente e completa.
IV. CONCLUSÃO
Com a entrada em vigor da LGPD, tendo em vista

sua complexidade, pode parecer que ela só traz vantagens e
benefícios para os titulares de dados pessoais, o que não pode
configurar como verdade absoluta. Os agentes de tratamento
'
34
Art. 8º O consentimento previsto no inciso I do art. 7º desta Lei deverá
ser fornecido por escrito ou por outro meio que demonstre a manifestação de
vontade do titular. § 5º O consentimento pode ser revogado a qualquer momento
mediante manifestação expressa do titular, por procedimento gratuito e facilitado,
ratificados os tratamentos realizados sob amparo do consentimento anteriormente
manifestado enquanto não houver requerimento de eliminação, nos termos do
inciso VI do caput do art. 18 desta Lei.
35
Art. 19. A confirmação de existência ou o acesso a dados pessoais serão
providenciados, mediante requisição do titular:
I - em formato simplificado, imediatamente; ou
II - por meio de declaração clara e completa, que indique a origem dos dados,
a inexistência de registro, os critérios utilizados e a finalidade do tratamento,
observados os segredos comercial e industrial, fornecida no prazo de até 15
(quinze) dias, contado da data do requerimento do titular.
§ 1º Os dados pessoais serão armazenados em formato que favoreça o exercício
do direito de acesso.
419
tiveram que revisar os processos que envolvem coleta de

dados pessoais, utilizando os dados com maior segurança.
Além disso, também foi necessário elaborar políticas de
privacidade, observando os princípios legais e os direitos
dos titulares de dados, demonstrando comprometimento
com a ética, transparência e prestação de contas, que com
certeza agregará valor de mercado a marca das empresas.
Mesmo assim, é importante deixar claro que o não

atendimento as regras previstas na LGPD, poderá acarretar
o infrator nas sanções administrativas impostas pela
Autoridade Nacional de Proteção de Danos, responsável por
fiscalizar o cumprimento da norma, que poderá ser desde a
advertência, suspensão, bloqueios, proibição e eliminação
de dados, até a aplicação de multas de até 2% (dois por
cento) do faturamento da empresa, limitada ao teto de R$
50.000.000,00 (cinquenta milhões).
É fato que o comércio eletrônico passou por grandes
transformações nos últimos anos, se ajustando rapidamente
à necessidade dos consumidores e, também, aos princípios,
fundamentos e diretrizes impostas pela Lei Geral de
Proteção de Dados, que obrigam os agentes de tratamento, a
diligenciarem para garantir o direito de tratamento adequado
dos dados pessoais dos titulares de dados, desde a coleta até
a eliminação.

ALVES, Carla Segala e GUIDI, Guilherme Berti de Campos.

“7. Cláusulas contratuais e Dados Pessoais: controladores,
operadores, cocontroladores e transferências internacionais”. In
Data Protection Officer (Encarregado). Coord. OPICE BLUM,
Renato; VAINZOF, Rony; MORAES, Henrique Fabretti. São
Paulo: Thomson Reuters Brasil, ed. 2019 e ed. 2021.
420
§ 2º As informações e os dados poderão ser fornecidos, a critério do titular:

I - por meio eletrônico, seguro e idôneo para esse fim; ou II - sob forma impressa.
§ 3º Quando o tratamento tiver origem no consentimento do titular ou em
contrato, o titular poderá solicitar cópia eletrônica integral de seus dados pessoais,
observados os segredos comercial e industrial, nos termos de regulamentação
da autoridade nacional, em formato que permita a sua utilização subsequente,
inclusive em outras operações de tratamento.
§ 4º A autoridade nacional poderá dispor de forma diferenciada acerca dos prazos
previstos nos incisos I e II do caput deste artigo para os setores específicos.
36
Art. 20. O titular dos dados tem direito a solicitar a revisão de decisões tomadas
unicamente com base em tratamento automatizado de dados pessoais que afetem
seus interesses, incluídas as decisões destinadas a definir o seu perfil pessoal,
profissional, de consumo e de crédito ou os aspectos de sua personalidade.
§ 1º O controlador deverá fornecer, sempre que solicitadas, informações claras e
adequadas a respeito dos critérios e dos procedimentos utilizados para a decisão
automatizada, observados os segredos comercial e industrial.
§ 2º Em caso de não oferecimento de informações de que trata o § 1º deste artigo
baseado na observância de segredo comercial e industrial, a autoridade nacional
poderá realizar auditoria para verificação de aspectos discriminatórios em
tratamento automatizado de dados pessoais.
37
Art. 21. Os dados pessoais referentes ao exercício regular de direitos pelo titular
não podem ser utilizados em seu prejuízo.
38
Art. 22. A defesa dos interesses e dos direitos dos titulares de dados poderá ser
exercida em juízo, individual ou coletivamente, na forma do disposto na legislação
pertinente, acerca dos instrumentos de tutela individual e coletiva.
BRASIL. MINISTÉRIO DA ECONOMIA. Guia de

elaboração de Termo de Uso e Política de Privacidade para
serviços públicos. Disponível em: <https://www.gov.br/
governodigital/pt-br/seguranca-e-protecao-de-dados/guias/
guia_tupp.pdf>. Acesso em 16 julho. 2022.
CAPANEMA, Walter Aranha. “Capítulo 9 – Elaboração
e Revisão de Documentos”. In “Manual do DPO”. Coord.
MALDONADO, Viviane Nóbrega. São Paulo: Thomson
Reuters Brasil, 2021.
CAPANEMA, Walter Aranha. “Capítulo 8 – Elaboração e
Revisão de Documentos”. In “LGPD – Lei Geral de Proteção
de Dados Pessoais – Manual de Implementação”. Coord.
421
MALDONADO, Viviane Nóbrega. São Paulo: Thomson

DONEDA, Danilo. Da Privacidade à Proteção de Dados Pessoais.
São Paulo: Thomson Reuters Brasil, ed. 2019 e ed. 2021.
GDPR. Noções básicas de processamento de dados.
Disponível em: <https://gdpr.eu/what-is-data-processing-
agreement/?cn-reloaded=1>. Acesso em 16 de julho de 2022.
LGPD. L13709 (planalto.gov.br) Acesso em 15 de julho de 2022.
OLIVEIRA, Marco Aurélio Bellizze e LOPES, Isabela Maria
Pereira. “Capítulo 2 – Os Princípios Norteadores da Proteção
de Dados Pessoais no Brasil e sua Otimização pela Lei
13.709/2018”. In “Lei Geral de Proteção de Dados Pessoais e
sua repercussão no Direito Brasileiro”. Coord. TEPEDINO,
Gustavo e FRAZÃO, Ana e OLIVA, Milena Donato. São
Paulo: Thomson Reuters Brasil, 2019.
VAINZOF, Rony. “Capítulo I – Disposições Preliminares”.
In “LGPD – Lei Geral de Proteção de Dados Comentada”.
Coord. MALDONADO, Viviane Nóbrega; OPICE BLUM,
Renato. São Paulo: Thomson Reuters Brasil, 2020.
422
PROGRAMA DE CONSCIENTIZAÇÃO
Márcia Guanabara1
“A verdadeira viagem de descobrimento não consiste em procurar

novas paisagens e sim em ter novos olhos” - Marcel Proust
I. INTRODUÇÃO
O artigo 50 da Lei Geral de Proteção de Dados Pes-

soais - LGPD (Lei 13.709/18)2 cita que ações educativas
são uma boa prática que deve ser adotada por controlado-
res e operadores. A Lei ainda cita que a educação é uma das
atividades do encarregado, artigo 41, § 2º, III: “orientar os
funcionários e os contratados da entidade a respeito das
práticas a serem tomadas em relação à proteção de dados
pessoais...”. Embora a LGPD não faça outras menções di-
retas à questão da educação e conscientização, na prática,
elas são determinantes para o correto funcionamento do
sistema de proteção de dados. Trata-se de parte de um pa-
cote integrado de medidas técnicas e administrativas que
visam conferir a conformidade legal.
1
Publicitária com 25 anos de experiência no mercado de energia nas áreas
de comunicação, franquias, planejamento estratégico, ESG e ouvidoria.
Pós-graduada em Marketing de Varejo pela Fundação Getúlio Vargas e
pós-graduanda em Cibersegurança e Proteção Digital de Negócios pela
Fundação Instituto de Administração (FIA).
2
BRASIL. Lei Geral de Proteção de Dados Pessoais - LGPD. Disponí-
vel em: <http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/
l13709.htm> Acesso em: 19. jun. 22.
423
Essencial ainda observar o princípio da responsabi-

lização e prestação de contas que exige a demonstração, por
parte do agente de tratamento, “da adoção de medidas efica-
zes e capazes de comprovar a observância e o cumprimento
das normas de proteção de dados pessoais e, inclusive, da
eficácia dessas medidas”.
O desenvolvimento de um programa integrado para
educação e conscientização possui total aderência aos requi-
sitos legais e colabora com pacote de providências legais e
administrativas exigidas pela legislação.
Entretanto, é preciso analisar o panorama sócio cultu-
ral do País para compreender a extensão das necessidades de
educação sobre proteção de dados.
Até pouco tempo atrás, não havia lei e não havia
preocupação com o uso de dados pessoais. Práticas como co-
mercializar e trocar bancos de dados eram totalmente livres e
aceitas. O assunto começou a ser levantado pelo público em ge-
ral por volta de 2018, ano da promulgação da LGPD, e ano do
lançamento do filme Privacidade Hackeada, o primeiro de uma
série de documentários abordando o tema. Até então, não havia
nenhuma transparência sobre como os dados eram tratados.
Embora hoje o assunto já esteja presente na mídia po-
pular e a adequação à LGPD já seja obrigação, o tema ainda
está restrito a um pequeno universo de pessoas. Basta olhar
em volta e se perguntar quantas pessoas sabem identificar o
que é um dado pessoal? Quantas pessoas fornecem o CPF
sem questionamento? Quantas pessoas entendem que o celu-
lar realmente ouve sua conversa?
Uma rápida análise sobre a situação do País já de-
monstra a impossibilidade de o assunto estar largamente di-
424
fundido. Embora a taxa oficial de analfabetismo de pessoas

acima de 15 anos seja de apenas 6,6%3 segundo o IBGE, o
Indicador de Alfabetismo Funcional, INAF4, reporta que nú-
meros bem mais complexos.
(...) 3 de 10 brasileiros entre 15 e 64 anos po-
dem ser considerados analfabetos funcionais
– um número muito maior do que o apontado
pelo IBGE - tão somente 12% dos brasileiros
nessa faixa etária se encontram classifica-
dos como proficientes, ou seja, conseguem
elaborar textos um pouco mais complexos
(como mensagens, descrições, exposições e
argumentações) e opinar acerca do estilo ou
do posicionamento do autor. 5
Entretanto, esta mesma população que não apresenta

proficiência na interpretação da língua nativa e, possivelmen-
te, não alcança a complexidade da relação entre um simples
CPF e a formação de perfis que alimentam a economia de da-
dos, não deixa de usufruir dos inúmeros benefícios ofertados
pela tecnologia.
Mesmo sem uma maciça compreensão da língua, a
média de smartphones no Brasil é de mais de um por ha-
bitante6! Como os smartphones são responsáveis por grande
3
IBGE TEMA DA PESQUISA. Disponível em: <https://educa.ibge.gov.br/jo-
vens/conheca-o-brasil/populacao/18317-educacao.html> Acesso em: 21 mar. 22
4
Pesquisa idealizada pelo Instituto Paulo Montenegro, a ONG Ação Edu-
cativa, realizada com o apoio do IBOPE desde 2001. Disponível em: <ht-
tps://alfabetismofuncional.org.br/> Acesso em: 21 mar. 22.
5
MEC. PNA, Política Nacional de Alfabetização. Disponível em: <https://
alfabetizacao.mec.gov.br/politica-nacional-de-alfabetizacao-2/bibliote-
ca-da-alfabetizacao > Acesso em: 21 mar. 2022.
6
Portal FGV. Panorama do Uso de TI no Brasil – 2022. Disponível em: <https://
portal.fgv.br/artigos/panorama-uso-ti-brasil-2022> Acesso em: 02/07/2022.
425
parte da alimentação da indústria de dados, percebe-se a dis-

crepância entre o alto uso de dados e a baixa compreensão da
população sobre suas consequências.
II. A RELEVÂNCIA DA CONSCIENTIZAÇÃO
Trabalhar com conscientização exige sair da bolha

das grandes cidades de dos estreitos círculos culturais e en-
xergar como funciona a mente da grande massa de brasileiros
que compõem as equipes das organizações.
Seja na esfera pública ou privada, são pessoas sem cultura
de dados pessoais que criam produtos, definem processos, tomam
decisões estratégicas, operacionalizam processos e apertam bo-
tões. Estas pessoas representam um elo frágil para a implemen-
tação de sistemas eficazes de proteção de dados. Segundo a Kas-
persky, 91% dos ataques a organizações começam com e-mail de
phishing7, parte destes ataques envolviam dados pessoais.
O objetivo da conscientização é criar a capacidade de
identificar e tratar dados pessoais da forma correta. Para tanto,
não basta um treinamento pontual em formato tradicional onde
um expositor fala e os receptores recebem o conteúdo de forma
passiva, pois uma coisa é dar ciência outra coisa é conscienti-
zar. A conscientização é mais profunda, passa por compreen-
são e assimilação até que se torne parte do sistema de crenças
(cultura) que determina o comportamento humano.
7
TILT. 5 temas de email que mais fazem funcionários cair no golpe de
phishing. Disponível em: <https://www.uol.com.br/tilt/noticias/reda-
cao/2022/07/03/5-temas-de-email-que-mais-fazem-funcionarios-cair-no-
-golpe-de-phishing.htm> Acesso em: 02 jul. 22.
426
“A cultura come a estratégia no café da manhã”, esta frase

de8 Peter Drucker, um dos papas da administração, mostra o mo-
tivo de muitos projetos serem malsucedidos. Os mais complexos
projetos de adequação à LGPD, com todas as medidas técnicas e
administrativas cabíveis podem ser derrubadas por equipes sem a
devida conscientização. As organizações não são fotografias está-
ticas, elas são fluxos constantes e a movimentação requer que to-
dos conheçam as regras para evitar que haja violações voluntárias
ou involuntárias. Não basta informar à equipe que existe uma lei
de proteção de dados, além de informar é necessário criar a cons-
ciência e a capacidade de análise crítica para que a pessoa consiga
avaliar situações do dia a dia e tomar as decisões corretas.
Educar envolve transmitir conhecimento através de
treinamentos. Depois que a pessoa já conhece o assunto,
começa o esforço de conscientização através de repetição e
apelos sensibilizantes realizados por campanhas de conscien-
tização. Além da educação e da sensibilização pela repetição,
as equipes vão compreender a importância do tema com as li-
ções e exemplos da alta gestão. Paralelamente, a organização
deve compor seus sistemas normativo e disciplinar que defi-
nem claramente as regras de conduta e o regime disciplinar.
A proposta é construir um programa multidisciplinar
que envolva os elementos acima citados:
• Governança, compliance e auditoria
• Apoio da alta gestão
• Normatização
• Treinamento
• Conscientização e comunicação
8
THE ALTERNATIVE BOARD. “Culture Eats Strategy For Breakfast”
- What Does it Mean? Disponível em: https://www.thealternativeboard.
com/blog/culture-eats-strategy.Aceso em 02 jul. 22.
427
Uma sugestão é começar o processo de desenvolvi-

mento do plano de conscientização com um briefing básico.
O briefing permite o alinhamento de conhecimentos e de ex-
pectativas, reduz as incertezas e agiliza a execução das tare-
fas. Outro benefício é reduzir os riscos de retrabalho, pois
os principais conceitos já são discutidos antes do início do
projeto. Algumas informações relevantes para iniciar o pro-
jeto são: breve histórico da empresa, descrição do setor de
atuação, seus produtos e serviços, informações estratégicas
(missão, visão, valores, se possível também o próprio pla-
nejamento estratégico), expectativas e prioridades do cliente
(como a empresa enxerga a proteção de dados e qual seu ob-
jetivo com o trabalho de adequação), descrição dos segmen-
tos de público9, prazo e os recursos disponíveis (financeiros
e outros como meios de comunicação para atingir o públi-
co interno como site, intranet, jornal interno e externo etc.,
equipe de marketing, agência externa, jornalistas, RH etc.).
III. GOVERNANÇA, COMPLIANCE E AUDITORIA
A governança é a transformação de ideias em regras e

procedimentos que orientem toda a organização sobre como
deve ser o exercício das funções. Para todos os escalões haverá
uma forma de atuação organizada, documentada e padronizada.
Em complemento à governança que garante a integridade, a re-
putação e a longevidade da organização, aparece o compliance
que busca garantir o cumprimento das regras internas e externas.
A auditoria vem por último verificando sistematicamente se a
organização está realmente executando as ações conforme pla-
nejado, dentro das regras e de forma eficaz. O conjunto das três
9
Este artigo está voltado exclusivamente para a conscientização do públi-
co interno (colaboradores e terceirizados).
428
matérias finda por servir como um guia orientativo para toda a

organização. Uma define as regras, a outra garante sua aplicação
e a terceira verifica se a aplicação é correta e se é eficaz.
Estas matérias já possuem forte alinhamento com a
proteção de dados pessoais, pois partem de princípios éticos e
de sustentabilidade do negócio. Uma empresa adota práticas
de governança, compliance e auditoria com o objetivo de pre-
venir e corrigir desvios, a proteção de dados é mais um risco
dentro do mapa de riscos e oportunidades da organização.
É importante que as equipes de governança e complian-
ce participem ativamente do processo de implementação da
LGPD, pois ela será responsável por carregar esta nova visão
para dentro da matriz de riscos da organização. A proteção
de dados precisa se tornar algo tão normal quanto gerar lucro
ou proteger a organização de um ladrão ou de um incêndio.
IV. APOIO DA GESTÃO
O apoio da alta administração é um dos conceitos ba-

silares do compliance. O exemplo e a participação dos ges-
tores são essenciais para que a equipe receba a mensagem
correta sobre a importância daquele tema para a organização.
Um bom líder dissemina o conhecimento e compartilha expe-
riências através do exemplo. Ele sempre é um modelo para a
equipe. A influência da liderança possui duas forças: o exem-
plo e o comando.
Entretanto, a regra do apoio da liderança deve se apli-
car a todos os cargos de gestão e não apenas ao alto escalão.
A estrutura organizacional de uma empresa é composta por
vários níveis, todos com a sua influência sobre as equipes. É
429
importante que a organização se preocupe com a conscienti-

zação de todos os gestores para que um gerente operacional
não finde derrubando toda uma construção conceitual com
um procedimento inadequado.
Existem inúmeras possibilidades de materializar o

apoio da gestão:
• A liderança precisa de fato acreditar e incorporar
os conceitos, pois a coerência é mandatória.
• O tema deve estar presente no dia a dia, por exem-
plo, nas reuniões de avaliação de desempenho ou
conversas informais do café.
• Deve haver acesso fácil aos gestores para tratar
do tema.
• O tema deve ser considerado prioridade durante
o período inicial da implementação do programa.
• Os gestores precisam participar dos treinamen-
tos como instrutores ou alunos, as duas posições
demonstram comprometimento. Também devem
participar dos eventos sobre o tema ou que citem
o tema.
• As palavras dos gestores devem estar presentes
ao longo da implementação do programa, sejam
escritas ou faladas, elas são essenciais para forta-
lecer conceitos.
V. NORMATIZAÇÃO
Para a LGPD a formalização de regras faz parte do

princípio da prestação de contas, então é essencial garantir
430
que a organização registre de alguma forma os comportamen-

tos esperados dos seus colaboradores. Se há uma regra em
uma organização, ela precisa estar registrada e ser conhecida.
Todas as organizações possuem suas próprias regras.
Estas regras respeitam uma hierarquia que nasce nos princípios
éticos universais, passam pela legislação do país e do setor e
terminam na estrutura normativa da própria empresa. Ao iniciar
o planejamento do programa de conscientização, é importante
mapear as regras internas e externas aplicáveis que podem, de
alguma forma, influenciar o ecossistema do tratamento de da-
dos. Isto vai desde a Constituição Federal até os hábitos da em-
presa e regulamentos setoriais. Com certeza não será possível
mapear “todo” o sistema normativo, mas é importante avaliar
o máximo possível de informações, pois a proteção de dados
deve conversar com as normas já existentes. Ela será um novo
tema inserido de forma transversal por toda a organização.
Apenas como inspiração inicial, é possível citar al-
guns caminhos a serem percorridos nesta catalogação: códi-
gos internacionais, sistema normativo oficial, regulação se-
torial, códigos setoriais, práticas concorrenciais comuns ao
setor, sistema normativo já existente na organização etc.
Feito este primeiro alinhamento, é preciso definir o
que se pretende com o sistema normativo, ou seja, definir
com clareza todos os pontos que precisam ser registrados so-
bre normas, controles, fiscalização e sanções que compõem o
sistema da organização.
A nomenclatura dos documentos onde as regras estão
registradas é menos importante do que o conteúdo. Embora
haja definições na ISO 9000 (que são utilizadas neste artigo),
elas não são obrigatórias e muitas empresas usam nomes di-
ferentes: política (documento que estabelece diretrizes para
431
que todos estejam em alinhamento com as intenções expres-

sas pela alta direção, as políticas tendem a ser direcionado-
res para a consecução dos macro objetivos da organização);
norma (são regras expressas, enquanto a política traz princí-
pios, a regra é objetiva sobre o que pode ou não ser feito) e
procedimento (a explicação sobre como algo ser feito, como
se deve executar uma atividade ou processo)10. Ainda existem
outros tipos de documentos largamente utilizados como: regi-
mento, regulamento ou estatuto (conjunto de regras que dire-
cionam o funcionamento de um determinado grupo, empresa,
comissão etc.) e código (registro organizado de normas que
devem ser seguidas com relação a um determinado assunto).
Existem também instruções gerais registradas em formatos
variados como manuais, infográficos, cartazes etc.
O essencial é compreender que existe um escalona-
mento, como uma pirâmide que se desdobra desde o nível
estratégico ao mais operacional. São etapas de construção de
raciocínio que começam na visão estratégica do tema e ter-
minam na forma de fazer, este desenvolvimento de raciocínio
facilita a compreensão e permite a adaptação modular sempre
que necessário.
Os documentos de primeiro nível (políticas) devem
conter a visão da organização sobre o tema que é desdobrado
de forma tática nos documentos de segundo nível (normas).
Já o nível operacional (procedimento) explica como realizar
a tarefa. Por exemplo, se “respeitar a dignidade do ser huma-
no” é um valor para a uma clínica médica, então sua política
(de segurança da informação, de dados pessoais ou qualquer
outra nomenclatura) pode prever que todos os sistemas de-
10
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS, NBR ISO
9000:2015: Sistemas de Gestão da Qualidade – Fundamentos e Vocabu-
lário, Rio de Janeiro, 2015.
432
vem possuir controle de acesso para garantir a confidenciali-

dade. O nível tático vai prever que dados de cadastro podem
ser acessados pelas enfermeiras e pelo pessoal da recepção,
mas que o conteúdo das fichas será de acesso exclusivo dos
médicos. Na operacionalização será explicado como se faz o
acesso, por qual sistema etc.
A estratégia de registro das normas deve obedecer
à lógica de priorização, definindo o que deve constar como
orientação geral, como regra objetiva e, se cabível, como ins-
trução de trabalho. O desenvolvimento de tais documentos
exige visão sistêmica e planejamento para integra a estrutura
normativa externa, as regras já existentes e as novas instru-
ções, mantendo uma ordenação hierárquica lógica, que dialo-
gue de forma coerente e esteja alinhada com a visão, missão
e valores da empresa. Caso as normas vigentes estejam em
desacordo com os preceitos da proteção de dados, as normas
podem e dever ser alteradas.
É primordial analisar o público a que se destina
cada tipo de documento, pois as mensagens, a linguagem e,
principalmente, o conteúdo é muito diferente para os públicos
interno e externo. Há que haver cuidado excepcional para não
expor para o público externo, informações sigilosas ou que
possam até contribuir para algum tipo de violação.
VI. TREINAMENTO
Se a organização já possui seu sistema normativo, já

incorporou a proteção de dados no sistema de governança e
possui o aval da administração, é hora de começar o processo
de educar a equipe.
433
O processo de aprendizado adulto é complexo e en-

volve vários estágios. Um treinamento rápido permite que
o indivíduo seja informado sobre o tema, mas apenas uma
estratégia de longo prazo permite que o assunto seja com-
preendido, assimilado, interpretado, exercitado até que se
torne parte do arsenal lógico daquela pessoa. As lições sobre
proteção de dados, seus riscos e regras precisam ser incorpo-
radas à cultura de forma a serem empregadas nas soluções
das questões práticas do cotidiano.
Soluções de prateleira para educar equipes sobre
LGPD nem sempre conseguem atender necessidades de públi-
cos específicos e podem não ser eficientes a ponto de contribuir
efetivamente para a alteração de cultura. Um treinamento efi-
caz passa pela segmentação do público-alvo, pela definição de
objetivos específicos (com base na finalidade do aprendizado
para cada grupo) e pela estratégia de abordagem (formato de
treinamento mais adequado). Segundo Brandão, “a cartilha é
um saber abstrato, pré-fabricado e imposto. É uma espécie de
roupa tamanho único que serve para todo mundo e para nin-
guém”11. Sempre haverá valor em qualquer treinamento, mas
a falta de personalismo pode impedir se crie um vínculo real
com o educando a ponto de conquistar sua cultura.
A sala de aula, virtual ou presencial, cumpre papel es-
sencial na conscientização, mas precisa de complemento para
atingir o patamares como assimilação, interpretações, emprego
prático etc. Uma aula aborda o tema de forma profunda, rela-
ciona o passado, o presente e o futuro mostrando a relação de
causalidade que permite a compreensão das motivações e das
consequências. Após esta etapa, se o objetivo é mudar o compor-
tamento, é preciso aplicar técnicas de repetição para assimilação,
11
BRANDÂO, Carlos Rodrigues, O que é Método Paulo Freire, São Pau-
lo, Brasiliense, 2017.
434
de exercícios para a interpretação e aplicação prática para incluir

aquele aprendizado no arsenal cognitivo do aprendiz.
Existem diferenças entre educar adultos e crianças,
tanto na motivação para aprender quanto na forma de apren-
dizado. A andragogia explica que a criança se entrega natural-
mente ao processo de aprendizado, pois nesta fase da vida o
normal é consumir o máximo possível de informações, a sim-
ples meta de ser aprovado nas provas é estímulo suficiente
para estudar. Já o adulto se engaja no processo de aprendi-
zado quando o objeto do estudo traz algum ganho percep-
tível para sua vida. A prontidão de um adulto para assimilar
novos conhecimentos está diretamente ligada à solução de
problemas “já identificados”. Geralmente envolve melhoria
de desempenho ou algum desejo interno de desenvolver um
conhecimento específico (como no caso de um hobby).
O processo de aprendizado da criança é simples, ela
assimila o que recebe, tudo é novo e interessante, pois está
em fase de construção do seu universo. O adulto já tem seu
universo construído, então o mundo passa a fazer sentido
através do código já instalado em sua mente.
É necessário construir um tipo de treinamento que
desperte a atenção do adulto, que esteja relacionado com a
solução de problemas já identificados. Infelizmente a questão
da proteção de dados é tão nova que é necessário explicar que
ela representa um problema antes mesmo de iniciar as expli-
cações da matéria em si, pois é necessário despertar a noção
de que há um problema para depois ofertar a solução.
No caso, a solução está relacionada com o despertar
de uma nova forma de raciocínio. É importante que o aluno
aprenda o encadeamento lógico de causas e consequências
de forma que consiga utilizar o ensinamento para solução de
435
problemas do seu cotidiano. Não basta um ensinamento es-

tático, é preciso desenvolver uma nova forma de raciocínio.
O método de alfabetização desenvolvido por Paulo
Freire tem como premissa que o objetivo da educação é a
conscientização do aluno com relação à sociedade em que
está inserido, compreender este universo é o caminho para
agir em favor de sua libertação. Ou seja, educar significa en-
sinar a pensar. O aluno precisa aprender a interpretar as situa-
ções, identificar os elementos de risco e descobrir o caminho
mais prudente, mesmo que este caminho envolva solicitar
ajuda para um técnico especializado.
Não basta apenas ensinar o que é um dado pessoal ou
qual a hipótese legal a ser utilizada, o importante é que a pes-
soa passe a ter consciência sobre o papel daquele processo so-
bre a vulnerabilidade de outros seres humanos em função do
tratamento de dados, desenvolva uma visão crítica da realidade
e desperte a preocupação de se manter sempre alerta para todos
os fluxos que envolvem dados e informações de terceiros.
Levar o treinamento a este nível de aprofundamento é
um desafio que pode ter sua solução no despertar do desejo de
aprender. Segundo Paulo Freire, este engajamento surge não
apenas pelo vínculo com um problema concreto, mas também
pela valorização da cultura do ambiente do aluno. De forma
muito simplificada, o método mostra três etapas no processo de
aprendizagem: primeiro o educador estuda o universo do aluno
e extrai situações, palavras e expressões para construir o mate-
rial de aula de forma que o aluno reconheça sua realidade nos
ensinamentos teóricos. Brandão12 explica que depois da teoria,
começa a etapa de problematização, quando o conteúdo é disse-
12
BRANDÂO, Carlos Rodrigues, O que é Método Paulo Freire, São Pau-
lo, Brasiliense, 2017.
436
cado em questões do cotidiano que precisam ser solucionados.

Essa sequência de ações termina na terceira etapa, quando após
exercitar, o aluno consegue se conscientizar e passa a ter uma vi-
são crítica da realidade. No caso da proteção de dados, a terceira
etapa é a situação desejada, ou seja, o indivíduo já desenvolveu
uma consciência capaz de reger seu comportamento.
O aluno adulto não pode ser um mero receptáculo de in-
formações, pois sem a conexão do tema com os problemas da sua
vida, não haverá eco em sua mente para que o ensinamento seja
apreendido e transportado para a solução de questões práticas.
Estas etapas do método Paulo Freire são interessantes para
orientar o desenvolvimento de treinamentos corporativos, pois
mostram pontos cruciais para o sucesso do treinamento: enxergar
a realidade do aluno, problematizar o ensino com questões rela-
cionadas a seu mundo e a seus problemas cotidianos e estimular o
aluno a executar seu próprio raciocínio na vida prática.
Evidente que não se espera que um Programa de Cons-
cientização solucione todas as questões que possam surgir
sobre o assunto no dia a dia, mas que desenvolvam nos cola-
boradores a capacidade de analisar criticamente as situações
usando as ferramentas aprendidas durante o treinamento. Os
colaboradores também precisam desenvolver maior grau de
sensibilidade com relação ao assunto para que estejam aten-
tos aos riscos e saibam identificar situações que merecem
atenção e cuidado. Mais do que isso, ainda que os indivíduos
não se recordem exatamente dos detalhes das políticas e pro-
cedimentos relacionados, terão desenvolvido o senso crítico
para buscar, quando necessário, as devidas instruções.
Para estimular o senso crítico tão desejado é interes-
sante que o aluno participe ativamente das aulas. Uma forma
de estimular isto é separar as turmas por tipo de atividade,
437
levar a lista das atribuições para a aula e pedir à turma que

escolha um processo para detalhar durante aula e identificar
onde existem dados pessoais e como eles são tratados. Este
exercício permite exercitar a tomada de decisão.
Um recurso que deve ser utilizado é o desenvolvi-
mento de material para consulta futura, que pode ser desde
um livro, uma história em quadrinhos ou mesmo um simples
aplicativo com perguntas e respostas, o importante é que o
material e sua linguagem estejam alinhados com as caracte-
rísticas sócio culturais do segmento ao qual se destina.
Saindo do universo da forma e passando para o con-
teúdo, vale lembrar que cada organização terá sua realidade
e cada segmento de público terá uma necessidade diferente.
Contudo, é essencial abordar os pontos chave da proteção de
dados: histórico da proteção de dados, o sistema integrado
mundial, conceitos, obrigações e sanções, boas práticas trazi-
das pela lei, sistema normativo da organização e do setor etc.
Para garantir que os esforços empregados serão efe-
tivos em todos os aspectos, eles precisam ser eficazes para
transformar comportamentos, mas também precisam ser or-
ganizados e devidamente registrados, pois para a LGPD não
basta dizer que faz, é preciso comprovar.
VII. CONSCIENTIZAÇÃO
A equipe já conhece os códigos e normas, já entendeu

o que são dados pessoais e como tratá-los, mas também é
necessário que haja sensibilização através de estímulos varia-
dos e constantes. A construção de uma nova cultura passa ne-
cessariamente pela repetição até que se criem novos hábitos.
438
A transformação cultural não se consolida pelo desejo

dos gestores, ela é fruto de uma mudança de modelo mental que
começa com a mensagem clara sobre as novas regras, com os
exemplos dos gestores e com a educação, mas se consolida quan-
do os empregados realmente incorporam aquela nova forma de
pensar. É uma mudança interna de habilidades e de hábitos.
A base da transformação já foi fornecida, mas a con-
solidação virá com o tempo e com a constância de propósito.
Por isto é tão importante a criação de campanhas de longo
prazo junto com os exemplos dos gestores para fixar o novo
modo de pensar.
Existem inúmeras formas de fortalecer e reforçar con-
ceitos que precisam entrar na cultura organizacional.
O programa deve conter um plano de ação que promo-
va estímulos claros ao longo de um certo período. A forma fica
a cargo das áreas de criação, mas usar coisas inusitadas, humor
e emoção são receitas normalmente eficazes na comunicação.
Desde uma campanha interna com adjetivação de chão
e paredes até gincanas divertidas ou mesmo grandes desafios
com jogos de negócios são bem-vindos. O mais importante é
manter a sustentação intercalando esforços mais complexos
com meros lembretes como frases em protetores de tela.
VIII. CONCLUSÃO
Gerar esta nova cultura sobre dados pessoais não é ape-

nas sobre tecnologia, segurança da informação ou transformação
digital, termos que sequer foram utilizadas neste artigo, é sobre
alertar a seres humanos que lidar com dados de outras pessoas
exige ética e responsabilidade. Seja em meio físico ou digital,
439
seja na operação mais simples ou no mais complexo sistema de

perfilização, seja quem cria ou quem opera, seja quem decide ou
quem faz, se há dados pessoais no processo, há necessariamente
que se olhar com novos olhos paisagens que já existem.
Uma cultura se constrói com um conjunto de tudo o
que é comunicado para um grupo de pessoas. Se a organização
deseja realmente transformar o comportamento de seus cola-
boradores e criar um ambiente mais seguro para o tratamento
de dados pessoais, precisa executar um plano organizado que
transmita esta nova visão de forma integrada e consistente.
Estimular novos comportamentos é uma tarefa hercúlea que
depende de regras, exemplos, educação e estímulos e talvez
de punições. Com o tempo e a coesão das mensagens emana-
das da gestão, os colaboradores começarão a assimilar o valor
daquela nova cultura e produzir as respostas esperadas.
440
PROTEÇÃO DE DADOS E PRIVACIDADE: UMA

ANÁLISE DOS JULGADOS E SUA EVOLUÇÃO
Marcus Vinícius Higino Maida1

Milla Cerqueira2
I. INTRODUÇÃO
Antes de analisarmos alguns julgados, é importante

entender o porquê organizações serão cada dia mais impacta-
das com o tema: privacidade e proteção de dados. Para isso,
voltaremos no tempo do homo sapiens, naquele tempo, cita o
historiador Yuval Harari:
1
Advogado e consultor empresarial. Sócio da PMM Gestão Empresarial,
Cofundador da Cadê meu Dado, Diretor no Departamento da Micro, Pe-
quena e Média Indústria e Acelera FIESP, Membro da Comissão Especial
de Privacidade e Proteção de Dados da OAB/SP. Extensões em Contro-
ladoria e Gestão Empresarial (EPD), Direito Tributário Aplicado (ESA),
Compliance (ESA), Direito Ambiental (FGV) e Empreendedorismo (Bab-
son College). Aluno ouvinte em Governança Corporativa (FD/USP, 2015)
e Lean Startup (FEA/USP, 2017). Recebido como pesquisador convidado
na Purdue University (EUA, 2019). Investidor anjo, professor universitá-
rio e palestrante. TEDx speaker com o tema: “ESG by design”. E-mail:
adv.marcusmaida@gmail.com e LinkedIn: Marcus Maida.
2
Advogada e consultora, membro da IAPP, encarregada de dados de empre-
sas, especialmente nos setores da saúde, educação, marketing e transportes,
professora convidada PUC/PR e professora da pós graduação em Privacidade
e proteção de Dados na Escola da Magistratura Federal também no Paraná,
cofundadora do Cadê Meu Dado, uma privacytech que visa levar conscienti-
zação do tema e voz aos titulares de dados através de um ranking de empresas
que melhor demonstra adequação com as normas da LGPD e com as boas
práticas globais, é ainda palestrante no TEDx, cujo tema foi a revolução dos
dados no setor jurídico. E-mail: info@millacerqueira.com.br.
441
Membros de um mesmo bando se conheciam

intimamente e eram cercados por amigos e
parentes durante a vida inteira. A solidão e a
privacidade eram raras. Bandos vizinhos
competiam por recursos e até lutavam uns com
os outros, mas também tinham contatos ami-
gáveis. [...] Tal cooperação foi uma das marcas
importantes do Homo sapiens e lhe deu uma
vantagem crucial sobre outras espécies hu-
manas. Às vezes, as relações com os bandos
vizinhos eram sólidas o suficiente a ponto de
eles constituírem uma única tribo, partilhando
a mesma língua, os mesmos mitos, as mesmas
normas e os mesmos valores.3 (G.n.)
Ou seja, houve um tempo em que a privacidade não

era necessária, a proteção dos dados tampouco.
É certo que evoluímos muito enquanto espécie, assim
como evoluíram as nossas necessidades e prioridades en-
quanto sociedade. Na segunda guerra mundial, por exemplo,
as vítimas de invasão à privacidade e vida íntima foram mui-
tas, especialmente as minorias perseguidas.
Posteriormente, com o avançar das revoluções indus-
trial e tecnológica, até chegar em tempos de hiper conectivi-
dade, big data, deep fake, e 5G, nunca foi tão importante o
tema em questão.
A cada dia que passa, o brasileiro aprende a valorizar
mais a sua privacidade, sua vida íntima, a proteção dos seus
dados pessoais, e compreende a importância de legislações
como a Lei Geral de Proteção de Dados Pessoais (LGPD) no
seu cotidiano, quer seja pelos impactos devastadores e cus-
3
YUVAL HARARI., Sapiens uma breve história da humanidade. Pag.
54. Disponibilizado por Le Livros em PDF:https://edisciplinas.usp.br/
pluginfile.php/4899892/mod_resource/content/2/Sapiens%20Uma%20
Breve%20Hist%C3%B3ria%20da%20Humanidade.pdf.
442
tosos do universo de cibercrimes, quer seja pelos casos de

comoção como o que ocorreu recentemente envolvendo uma
atriz com a denúncia da divulgação (sem seu consentimento)
de dados pessoais sensíveis e sigilosos (o parto de um bebê)
por uma enfermeira do próprio centro cirúrgico de uma ma-
ternidade, fato que infringe conduta de sigilo profissional e
também direito fundamental à privacidade.
Após compreendermos a relevância do tema, é oportu-
no trazer dados de uma renomada empresa que atua no ramo
de pesquisas e consultorias, a Gartner, que nos ajudarão a em-
basar parte de nossa análise do decorrer deste artigo, sendo:
“As três principais preocupações em relação à privacidade das
informações são multas (46%) – que podem chegar a R$ 50
milhões por infração -, perder clientes (45%) e sofrer danos à
reputação (44%)4.”.
Pois bem, considerando que uma das maiores preocu-
pações das empresas brasileiras, segundo a pesquisa da Gart-
ner, são as multas e penalidades, entende-se também que as
decisões judiciais possuem um papel fundamental na modu-
lação do setor no que se refere a um efetivo cumprimento e
aplicação de programas de governança proteção de dados.
Após um ano de vigência da Lei Geral de Proteção de
Dados, a quantidade de decisões baseada na LGPD foi cres-
cente no poder judiciário (note na imagem do gráfico abai-
xo). O Estado de São Paulo domina o ranking de decisões e
análises segundo pesquisa da empresa Juit.io, na sequência
aparecem Distrito Federal e Paraná.
4
VALOR ECONÔMICO. Empresas brasileiras não estão prontas para lei de
dados, aponta Gartner. Disponível em: < https://valor.globo.com/empresas/
noticia/2019/11/01/empresas-brasileiras-nao-estao-prontas-para-lei-de-da-
dos-aponta-gartner.ghtml> Acesso em: 04 de julho de 2022.TEPEDINO,
Gustavo; TERRA, Aline de Miranda; CRUZ GUEDES, Gisela Sampaio da.
Fundamentos do Direito Civil. São Paulo, 3ª Edição. Editora Forense. 2021
443
Esta mesma base de dados demonstrou que 1 em cada

8 decisões foram por vazamento de dados. Este número de-
monstra que a legislação não se limita a questões relaciona-
das a segurança dos dados, mas também ao enquadramento
em bases legais previstas na lei e outros aspectos relaciona-
dos ao rol dos princípios previstos no artigo 6º. da legislação.
Fonte: https://blog.juit.io/lgpd-um-ano/
Importante destacar que existe diferença entre um pro-

jeto de privacidade e um programa de governança de dados,
sendo que este último é instrumento vivo que deve ser monito-
rado constantemente. Este, inicia-se estabelecendo um progra-
ma de gerenciamento de dados através do mapeamento, desenho
de fluxos e inventário. O passo seguinte é manter o programa
vivo mediante análises, avaliações e ajustes em procedimentos.
A terceira etapa, na evolução do programa, é a busca recursos
para uma efetiva redução no risco de privacidade, com pouco ou
nenhum impacto no uso dos dados. Aqui concentra-se o maior
desafio das organizações, sejam elas no setor público ou pri-
vado. O projeto, por sua vez, é incongruente com o tema, pois
conceitualmente precisa ser finalizado em algum momento.
444
Vale lembrar que:

O Brasil não está sozinho na preparação para
a nova regulamentação de privacidade. Antes
de 2023, mais de 80% das empresas de todo o
mundo estarão sujeitas a pelo menos um regu-
lamento de proteção de dados com foco em pri-
vacidade, segundo o Gartner. As organizações
brasileiras devem perceber essa iniciativa como
um programa e não como um projeto. Diferen-
temente de um projeto, que tem começo, meio e
fim, um programa estabelece uma metodologia
abrangente que influenciará permanentemente
os processos de tomada de decisão com base em
riscos e melhoria contínua da maturidade, disse
Bart Willemsen, vice-presidente do Gartner.5
Os outros dois fatores trazidos pela pesquisa, a saber,

a possível perda de clientes e o impacto reputacional, também
são elementos reforçadores para o desenvolvimento de pro-
gramas de governança dentro das organizações.
É certo que não é nossa intenção esgotar o tema, mas
sim trazer para a discussão algumas análise e críticas que cor-
roboram a força desta pauta e como ela estão sendo tratada
pelos nossos tribunais.
II. PRIMEIRO JULGADO (GEOLOCALIZAÇÃO E OUTROS)

Vamos começar nossas análises com um caso que en-
volve serviços de geolocalização e de internet. Em suma, o
5
VALOR ECONÔMICO. Empresas brasileiras não estão prontas para lei de
dados, aponta Gartner. Disponível em: < https://valor.globo.com/empresas/
noticia/2019/11/01/empresas-brasileiras-nao-estao-prontas-para-lei-de-da-
dos-aponta-gartner.ghtml> Acesso em: 04 de julho de 2022.TEPEDINO,
Gustavo; TERRA, Aline de Miranda; CRUZ GUEDES, Gisela Sampaio da.
Fundamentos do Direito Civil. São Paulo, 3ª Edição. Editora Forense. 2021
445
D. Magistrado de primeira instância sentenciou e determinou

que aplicativos (WhatsApp, Waze, Google Maps), provedo-
res de aplicações de internet (Google, Facebook) e empresa
de telecomunicação (Tim S/A) fornecesse informações deta-
lhadas sob pena de multa coercitiva e ato atentatório à digni-
dade da justiça.
Vejamos este julgado6:

EMENTA
MANDADO DE SEGURANÇA. DE-

CRETAÇÃO DE QUEBRA DE SIGILOS
TELEFÔNICO E TELEMÁTICO PARA
FORNECIMENTO DE DADOS E DE RE-
GISTROS DE GEOLOCALIZAÇÃO DO
IMPETRANTE PARA FINS DE INSTRU-
ÇÃO PROCESSUAL. ILEGALIDADE.
Padece de ilegalidade a decisão judicial que
decretou a quebra de sigilos do impetran-
te e determinou a requisição às operadoras
de telefonia e aos provedores de “internet”
o fornecimento de dados e de registros tele-
fônicos e telemáticos, relativos a determina-
do período. Embora os direitos e as garantias
fundamentais não possuam caráter absoluto,
a decretação de quebra de sigilos, na ampli-
tude com que foi determinada pela autorida-
de coatora, configurou violação do direito à
intimidade e da garantia de inviolabilidade
da comunicação, de patamar constitucional
(CF, art. 5o, incisos X e XII). Constatado
que a quebra de sigilos ocorreu após ter sido
produzida prova documental e depois de te-
rem sido colhidos depoimentos das partes e
6
https://pje.trt4.jus.br/consultaprocessual/detalhe-processo/
0022381-34.2021.5.04.0000/2#f0383f0 acesso em 05/05/2021
446
de quatro testemunhas, que tratam da maté-

ria controvertida. Ponderado que, conquanto
o magistrado detenha poderes instrutórios
(CLT, art. 765), os quais também não pos-
suem caráter definitivo, as diligências que,
de ofício, foram determinadas não estão
adequadas às circunstâncias fáticas do caso
concreto, pois há substrato fático com base
no qual a controvérsia pode ser solucionada,
prevendo o ordenamento jurídico critérios de
julgamento para casos em que a prova não
esclarece suficientemente as alegações das
partes (CLT, art. 818; CPC, art. 373). Reco-
nhecido que o ato judicial atacado revela-se
desproporcional, não tendo sido sopesados
os bens jurídicos colidentes e protegidos pela
norma constitucional. A possibilidade de di-
rimir a questão controvertida e de influen-
ciar na formação do convencimento do ma-
gistrado são fatores que, frente ao conjunto
probatório já coligido ao feito principal, não
justificam o afastamento de direitos e garan-
tias fundamentais do impetrante. Particulari-
dades deste caso concreto a demonstrar que
a decretação de quebra de sigilos telefônico
e telemático do impetrante para obtenção de
dados de geolocalização para fins de instru-
ção processual não foi medida necessária,
adequada nem proporcional. Presente, ainda,
o comprometimento da garantia à razoável
duração do processo (CF, art. 5o, LXXVIII),
sobretudo em razão da grande quantidade de
informações requisitadas e da dificuldade no
tratamento delas. Segurança concedida.
A fundamentação do Acórdão é pautada na proteção da

intimidade, nos princípios da LGPD, no artigo 4º. do mesmo or-
denamento, e no artigo 5º. Inciso X e XII da Constituição Federal.
447
É, no mínimo, curioso observar como um juiz pôde

julgar que o seu direito de produção de provas, por si só, pre-
valece sobre o direito constitucional do indivíduo, note:
No sistema constitucional brasileiro, nenhum
direito ou garantia se reveste de caráter absolu-
to e, não obstante toda proteção jurídica confe-
rida aos direitos à comunicação e à privacida-
de, preocupou-se o legislador, de outra banda,
em evitar que, sob essa cortina protetiva, ilí-
citos fossem praticados impunemente, permi-
tindo, excepcionalmente, o acesso aos dados e
registros mantidos pelos provedores de cone-
xão e de acesso a aplicações de internet pelas
autoridades administrativas e judiciais, visando
justamente a coibir eventuais práticas ilegais.
A guarida dada pelo ordenamento jurídico

pátrio, portanto, não é obstáculo para que,
na busca da chamada verdade real e para a
formação do convencimento do magistrado,
em determinadas situações e observados os
requisitos legais, seja autorizado o acesso aos
dados e registros telefônicos e telemáticos ar-
mazenados nas operadoras de telefonia e nos
provedores de conexão ou de acesso a aplica-
ções de internet, conforme previsto nos arts.
10, §§ 1o, 3o e 4o, e 22 da Lei no 12.965/2014,
bem como nos equipamentos eletrônicos e de
informática do próprio usuário.
Tal medida excepcional pode ser requerida

pela parte interessada ou ordenada de ofí-
cio pelo juiz, que possui ampla liberdade na
direção do processo e a prerrogativa de re-
quisitá-los de quem detém a sua guarda para
a formação do conjunto probatório em pro-
448
cessos judiciais de qualquer natureza, com-

petindo-lhe, assim, determinar a realização
de quaisquer diligências e produzir todas as
provas necessárias ao esclarecimento dos fa-
tos e à rápida solução dos litígios, nos termos
do art. 765 da CLT c /c arts. 139, II, e 370 do
CPC e 22 da Lei no 12.965/2014, bem como
adotar as providências necessárias à garantia
do sigilo das informações recebidas, a teor
do que prescreve o art. 23 do MCI.
Neste caso, o Ministério Público do Trabalho mani-

festou-se de modo sensato e ponderado em todo o seu texto, e
de modo especial e sutil, em nosso entendimento, ao apontar
evidente ausência de limitação à localidade em que se quer
fazer prova, como pode ser observado no destaque abaixo.
O artigo 5o, inciso XII, da Constituição Fe-
deral, assegura a inviolabilidade do sigilo
dos dados e das comunicações telefônicas,
ressalvando apenas, quanto à última, a que-
bra do sigilo por ordem judicial em instrução
processual penal ou em investigação crimi-
nal. Apesar de não ser absoluto, trata-se de
direito constitucional fundamental de índole
individual, além de cláusula pétrea, nos ter-
mos do artigo 60, § 4o, inciso IV, da CF.
No plano infraconstitucional, a Lei Geral

de Proteção de Dados assegura o respeito à
privacidade a inviolabilidade da intimidade,
notadamente quanto aos dados pessoais e
sensíveis, nos termos dos artigos 2o, I e IV, e
5o, I e II, da Lei 13.709/18.
No caso dos autos, a quebra de sigilo determi-

nada na ação subjacente tem por escopo a ve-
rificação da jornada efetivamente exercida pelo
impetrante. Assim, viola o dispositivo consti-
449
tucional por não ter por objetivo a instrução

de processo penal ou a investigação criminal,
tampouco direito postulado no juízo trabalhista
que possa configurar ilícito de natureza penal.
Ainda, é abusiva na medida em que, apesar dos

amplos poderes instrutórios do magistrado previs-
tos no artigo 765 da CLT, estes também não são
absolutos. A decisão judicial deve ser fundamenta-
da em permissivo legal (artigo 489, § 1o, do CPC),
bem como deve atender aos parâmetros constitu-
cionais de proporcionalidade e razoabilidade. Nes-
se sentido, determinar a quebra de sigilo de dados
pessoais para instrução processual de pedido de ho-
ras extras, quando já juntada documentação e ouvi-
das quatro testemunhas, sendo três indicadas pelo
impetrante, sequer é pautada em razoabilidade.
Cumpre destacar, ademais, que o fato de per-

manecer dúvida razoável ao magistrado quan-
to aos fatos controvertidos na demanda não
autoriza a determinação de provas cuja instru-
ção viole a intimidade e privacidade das par-
tes, ao arrepio dos direitos fundamentais. [...]
Não bastasse, a prova determinada pelo juízo,

de ampla documentação e relevante comple-
xidade, a depender de avaliação pericial com
os devidos cuidados para fins de observância
da LGPD, afronta o princípio constitucional
da razoável duração do processo, notadamen-
te porquanto postuladas em juízo verbas sala-
riais relativas à prestação de jornada.
Por fim, verifica-se que a decisão atacada

sequer limita a quebra do sigilo à geolo-
calização por aplicativo próprio e à lo-
calidade do estabelecimento do trabalho
do impetrante. O magistrado determinou a
apresentação de extrato de mensagens, agen-
450
da de contato e grupos que a conta faz par-

te com a descrição individualizada de seus
membros, bem como a relação de todos os
locais salvos e o histórico de toda localiza-
ção e deslocamento do trabalhador. Nesse
sentido, violou, também, a privacidade dos
demais indivíduos que trocaram mensagens
ou participaram de grupos com o impetrante.
Nesse cenário, está configurada a probabili-

dade do direito do impetrante. Além disso, o
risco de dano irreparável está em maior grau
na situação do impetrante, que teve violado o
seu direito constitucional fundamental à inti-
midade e à privacidade. (G.n.)
Por fim, o Mandado de Seguran-

ça foi provido e a decisão que determinou a que-
bra de sigilos do impetrante foi devidamente cassada.
III. SEGUNDO JULGADO (SOLIDARIEDADE DO ART.

42, LGPD, BASE DE DADOS IRREGULAR E OUTROS)
Para este segundo julgado, escolhemos apresentar um

que mostra o princípio da solidariedade, externado na Lei Geral
de Proteção de Dados, Seção III do Capítulo VI — artigos 42
a 45, seção especialmente dedicada à responsabilidade civil.
Nesta seara, trazemos o comentário de Gustavo Te-
pedino, Aline de Miranda Terra e Gisela Sampaio da Cruz
Guedes7, que muito bem elucidam o tema, vide:
A lógica da responsabilidade objetiva é outra:
não cabe discutir cumprimento de deveres,
porque a responsabilidade objetiva não de-
7
Tepedino, Gustavo; Terra, Aline de Miranda; Cruz Guedes, Gisela Sampaio da. Fun-
damentos do Direito Civil (pp. 236-252). São Paulo, 3ª Edição. Editora Forense. 2021.
451
corre do descumprimento de qualquer dever

jurídico”. Quando se discute cumprimento
de deveres, o que no fundo está sendo ana-
lisado é se o agente atuou ou não com culpa.
Assim, apesar de a LGPD não ser explícita
em relação à natureza da responsabilidade
dos agentes de tratamento de dados, como é
o Código de Defesa do Consumidor ao ado-
tar a responsabilidade objetiva, a interpreta-
ção sistemática da LGPD leva à conclusão
de que o regime adotado por este diploma
foi mesmo o da responsabilidade subjetiva.
Não obstante as semelhanças com o Código
de Defesa do Consumidor, é essencial des-
tacar que, enquanto o Código de Defesa do
Consumidor tem pelo menos dois artigos ex-
pressamente indicando a natureza objetiva da
responsabilidade (arts. 12 e 14 – ambos se va-
lem da expressão “independentemente de cul-
pa”, que deixa clara a opção do legislador pela
responsabilidade objetiva), não há qualquer
norma análoga na LGPD. O art. 42 da LGPD
não faz referência expressa à culpa como ele-
mento da responsabilidade civil, mas também
não faz qualquer alusão ao risco como funda-
mento da responsabilidade objetiva.
E os autores continuam.
A referência expressa à responsabilidade ob-
jetiva foi completamente eliminada do texto
legal. Paralelamente a isso, ainda no período
de tramitação do projeto, o caput do art. 42
da LGPD sofreu uma alteração importante: a
expressão “em violação à legislação de pro-
teção de dados pessoais” foi acrescentada, o
que também evidencia a opção do legislador
pela responsabilidade subjetiva. Os agentes
de tratamento não responderão em toda e
452
qualquer situação em que causarem danos

a terceiros, mas apenas quando isso ocorrer
em violação à legislação de proteção de da-
dos pessoais, ou seja, quando a sua conduta
não se adequar ao standard estabelecido pelo
próprio legislador.8
Após esta breve introdução ao tema, chegamos ao jul-

gado selecionado já mais esclarecidos do entendimento ao
tratamento do referido Artigo, na visão da doutrina. Assim,
vamos ao nosso segundo julgado9 selecionado
EMENTA
APELAÇÃO CÍVEL. PESQUISA DE MER-

CADO. BANCO DE DADOS. LEI GERAL
DE PROTEÇÃO DE DADOS. SOLIDA-
RIEDADE. INFORMAÇÕES PESSOAIS.
INTIMIDADE. PRIVACIDADE. DADOS
SENSÍVEIS. PROTEÇÃO. NECESSIDA-
DE. IMAGEM. USO SEM PERMISSÃO.
ATO ILÍCITO. PESSOA JURÍDICA. HON-
RA OBJETIVA. LESÃO. DANO MORAL.
CONFIGURADO. SUCUMBÊNCIA RECÍ-
PROCA. INEXISTÊNCIA. SÚMULA N. 326
DO SUPERIOR TRIBUNAL DE JUSTIÇA.
1. A solidariedade não se presume, decorre da

lei. A solidariedade entre o agente de tratamen-
to e o controlador dos dados é prevista no art.
42, § 1o, incs I e II, da Lei n. 13.708/2018.
2. A Lei n.13.708/2018 visa proteção aos

dados pessoais e está diretamente ligada ao
direito à privacidade, que consta expressa-
8
Op. cit.
9
https://tj-df.jusbrasil.com.br/jurispruden-
cia/1545857523/7095800920218070001-1428326
453
mente como direito fundamental previsto na

Constituição Federal.
3. A Súmula n. 403 do Superior Tribunal de
Justiça fixou que é devida indenização, inde-
pendentemente de prova de prejuízo, nas hipó-
teses de divulgação não autorizada de imagem
de pessoa, com fins econômicos ou comerciais.
4. A Súmula n. 227 do Superior Tribunal de

Justiça pacificou o entendimento que a pes-
soa jurídica pode sofrer dano moral.
5. O dano moral decorre de uma violação de

direitos da personalidade e a sanção consiste
na imposição de uma reparação pecuniária a
ser fixada mediante prudente arbítrio do juiz,
de acordo com os princípios da razoabilida-
de e proporcionalidade, observados o grau de
culpa, a extensão do dano, a expressividade
da relação jurídica originária, bem como a
finalidade compensatória.
6. A condenação a título de danos morais fi-

xada em patamar inferior ao pleiteado não
configura sucumbência recíproca para fins
de pagamento das despesas processuais e
honorários advocatícios (Súmula n. 326 do
Superior Tribunal de Justiça).
RELATÓRIO
Trata-se de apelações interpostas por Anten-

nas Business Insights Serviços Administrati-
vos Ltda. e WHD Pesquisa e Estratégia Ltda.
contra a sentença proferida pelo Juízo da Sé-
tima Vara Cível da Circunscrição Judiciária
de Brasília. [...]
O dispositivo da sentença: 1) confirmou a tu-

tela de urgência para determinar que Anten-
454
nas Business Insights Serviços Administrati-

vos Ltda. e WHD Pesquisa e Estratégia Ltda.
se abstenham de enviar a pesquisa impugna-
da, bem como de utilizar o banco de dados,
o nome e o logotipo do Sindicato dos Traba-
lhadores do Poder Judiciário e do Ministério
Público da União no Distrito Federal (Sind-
jus/DF) ; 2) condenou-os, solidariamente, ao
pagamento de R$ 10.000,00 (dez mil reais)
a título de danos morais, cujo valor deve ser
corrigido pelo Índice Nacional de Preços ao
Consumidor (INPC) desde o arbitramento e
com juros de mora de um por cento (1%) ao
mês, a contar do trânsito em julgado e 3) a
arcar com as custas e honorários fixados em
dez por cento (10%) sobre o valor da conde-
nação, com fundamento no art. 85, § 2o, do
Código de Processo Civil. (G.n.)
O caso acima absorve três principais pontos referente

a proteção de dados. O primeiro deles é a previsão dos artigos
42 ao 45 da LGPD, que preveem responsabilidade solidária e
ressarcimentos de dados mediante ação regressiva.
O segundo ponto, um dos mais interessantes neste
caso concreto, trata-se da observação de acesso irregular e
ilicitude na utilização do banco de dados, fato que determina
que não basta realizar o tratamento dos dados pessoais (sen-
síveis ou não) pautados numa base legal prevista na LGPD, é
imprescindível que a coleta dos dados, a finalidade e demais
justificativas do tratamento sejam documentadas a ponto de
ser possível comprovar acurácia e enquadramento nas diretri-
zes da lei de proteção de dados brasileira.
No caso, a empresa de pesquisa não estava amparada
no art. 7º. Inciso IV da LGPD, que conceitua órgão de pesquisa
455
e restringe a aplicação à administração pública, direta ou indi-

reta, ou à pessoa jurídica de direito privado sem fins lucrativos.
Infere-se da análise dos documentos trazidos

aos autos, que a atuação da agência possui
finalidade lucrativa e seu foco é estritamen-
te comercial, razão pela qual não se enquadra
na definição legal de órgão de pesquisa. Con-
clui-se, assim, que a falta de consentimento
do titular para a realização do tratamento
de dados pessoais caracteriza o seu uso ir-
regular, nos termos da Lei Geral de Prote-
ção de Dados (Lei n. 13.709/2018). (G.n.)
Aqui não caberia outra base senão o consentimento,

posto que o legítimo interesse não é possível ser aplicado em
se tratando de dados sensíveis.
Por derradeiro, o terceiro ponto corresponde ao dano
moral relacionado, também, ao abalo da confiança dos filia-
dos e a insegurança quanto a proteção do sigilo de suas in-
formações pessoais, abaixo transcrevo precedente trazido no
Acórdão em análise.
APELAÇÃO CÍVEL. PROVEDOR DE
APLICAÇÕES DE INTERNET. PLATA-
FORMA INTERMEDIADORA ENTRE
RESTAURANTES/ESTABELECIMENTOS
E COMPRADORES COM SERVIÇO DE
ENTREGA. 99 FOOD. RESPONSABILI-
DADE, AINDA QUE MÍNIMA, DE CHE-
CAR OS DADOS CADASTRADOS PELOS
ESTABELECIMENTOS. CADASTRO DE
ESTABELECIMENTO FALSO. USO DE
MARCA E LOGOMARCA. RESPONSABI-
456
LIDADE CIVIL. AVALIAÇÕES NEGATI-

VAS POR USUÁRIOS. OFENSA À HON-
RA OBJETIVA DO ESTABELECIMENTO.
DANO MORAL CONFIGURADO. SEN-
TENÇA MANTIDA. [...] III. A plataforma
digital, ao disponibilizar para os usuários
compradores a possibilidade de compra por
meio de determinado estabelecimento, leva o
referido usuário a crer e confiar na veracidade
das informações. Logo, não há como se afas-
tar a sua responsabilidade pela falha ao não
conferir, minimamente, os dados apresenta-
dos pelo estabelecimento ao se cadastrar. IV.
A disponibilização de perfil falso do estabe-
lecimento apelado na plataforma digital da
apelante levou os usuários a apresentarem re-
clamação perante o estabelecimento e perante
os demais usuários do aplicativo, o que, ine-
quivocamente, causou danos à sua imagem,
respeito e credibilidade junto a seus clientes,
atingindo, portanto, a sua honra objetiva. V.
A pessoa jurídica pode sofrer dano moral
quando sua honra objetiva for atingida,
devendo a parte apresentar provas cabais
da lesão. No caso concreto, os danos causa-
dos à parte autora restaram devidamente
provados pelas avaliações feitas pelos usuá-
rios na plataforma (ID 26201704). Confi-
gurado o dano moral, surge ao causador
do dano o dever de indenizar. VI. Apelação
conhecida e não provida. (Acórdão 1400190,
07001312720218070001, Relator: FLÁVIO
FERNANDO ALMEIDA DA FONSECA, 8a
Turma Cível, data de julgamento: 10/2/2022,
publicado no DJE: 25/2/2022. Pág.: Sem Pá-
gina Cadastrada.). (G.n)
Houve aqui um acertado desfecho e análise prudente

sobre os tópicos acima, analisando o caso em concreto e seus
457
desdobramentos, trata-se de um excelente julgado para ser

mencionado em próximas oportunidades como referência.
IV. TERCEIRO JULGADO (O caso do INSS)
Apresentamos agora uma situação que se tornou roti-

neira para aqueles que perderam um ente querido, e que traz
não apenas uma prolongação do luto como também um cons-
trangimento que beira o limite do aceitável.
Aliás, por conta do cruzamento deste limite, uma ci-
dadã conseguiu uma decisão de impacto, a qual comentamos
a seguir. Vejamos o Relatório do julgado10:
Recurso do INSS contra sentença que jul-
gou procedente em parte o pedido e conde-
nou o INSS ao pagamento de indenização
por danos morais. Sustenta, em síntese, que
não praticou ato ilícito e que agiu amparado
em lei. Cita o artigo 115, inciso VI, da lei
8.213/1991 e o artigo 6, da Lei 10.820/2003.
Afirma, ainda, que não há nexo de causali-
dade entre o dano alegado e ato omissivo
ou comisso do INSS. Defende que a legis-
lação de proteção de dados adota o regime
de responsabilidade subjetiva, que exige a
prova de culpa. Aduz que não há provas de
que os dados da parte autora foram extraídos
da autarquia previdenciária. Alega que não
houve dano moral, o qual se configura pela
existência de ofensa à honra, à imagem ou à
moral do cidadão, expondo-o a uma situação
10
https://web.trf3.jus.br/acordaos/Acordao/BuscarDocumentoP-
je/258868040 extraído em 05/07/2022.
458
constrangedora ou vexatória, com repercus-

são negativa na esfera social (id 254982952).
Pelo relatório já podemos iniciar alguns destaques,

entre eles a relação do nexo de causalidade entre o dano e o
ato omissivo ou comissivo do Instituto Nacional de Previdên-
cia Social, o INSS.
Cabe-nos destacar que a questão relativa ao nexo de cau-
salidade na responsabilização civil é pressuposta obrigatório. Ela
é a liga de um para com o outro. Desta feita, não há o que se falar
em responsabilização civil se não houver nexo causal derivado
de conduta comissiva ou omissiva. Aliás vejamos o Art. 186. do
Código Civil:11 “Aquele que, por ação ou omissão voluntária,
negligência ou imprudência, violar direito e causar dano a ou-
trem, ainda que exclusivamente moral, comete ato ilícito.”.
Ainda neste tema e, antes de avançar, destacamos a
elucidativa lição:
Uma das condições essenciais à responsabi-
lidade civil é a presença de um nexo causal
entre o fato ilícito e o dano por ele produzido.
É uma noção aparentemente fácil e limpa de
dificuldade. Mas se trata de mera aparência,
porquanto a noção de causa é uma noção que
se reveste de um aspecto profundamente filo-
sófico, além das dificuldades de ordem práti-
ca, quando os elementos causais, os fatores
de produção de um prejuízo, se multiplicam
no tempo e no espaço. (LOPES,2001)12
Sabemos que a Lei Geral do Proteção de Dados esta-
11
BRASIL, Lei n. 10.406 de janeiro de 2002. Código Civil. Disponível em:
<http://www.planalto.gov.br/ccivil_03/leis/2002/l10406compilada.htm>
12
LOPES, Miguel Maria de. Curso de Direito Civil – Fontes Acontratuais
das Obrigações e Responsabilidade Civil – vol. V. 5. Ed. Rio de Janeiro:
Freitas Bastos, 2001, pág. 218.
459
belece que as informações contidas em bancos de dados po-

dem somente ser utilizadas, salvo as exceções preconizadas
pela própria lei, com propósito específico, legítimo e com
o devido consentimento do seu titular. Seria este o caso do
INSS. Do julgado que analisamos, extraímos do Voto:
A parte autora reclama indenização por
danos morais decorrentes da oferta insis-
tente e diária, por meio de ligações tele-
fônicas e mensagens via SMS e WhatsApp,
de fornecimento de crédito por parte de
instituições financeiras, fato que, segundo
afirma, é decorrente do vazamento de seus
dados pela autarquia previdenciária, vez
que somente passou a ser importunada
após o deferimento do benefício de pensão
por morte em 07/06/2021. Invoca a Lei nº
13.709/2018 (Lei Geral de Proteção de Da-
dos Pessoais - LGPD).
A Lei 13.709/2018 (LGPD) dispõe sobre

regras para o tratamento de dados pessoas
da pessoa natural a que se submetem tanto
pessoas jurídicas de direito privado como de
direito público (art. 3º, caput). Para esta lei é
considerada operação de tratamento de dados
(art. 5º, inc. X) [...] Outrossim, o tratamento
de dados possui requisitos, ressaltando para
o que interessa ao presente caso, o consenti-
mento do titular (Art. 7º., inc. I e § 5º da Lei
13.709/2018). [...] E, no que tange ao poder
público, a LGPD estabelece que é vedado a
este transferir a entidades privadas dados pes-
soais constantes de base de dados a que tenha
acesso (art. 26, § 1, Lei 13.709/2018). (G.n).
460
A estruturação inicial do Voto, visa delimitar o papel do INSS

como controlador dos dados da parte autora, algo que com
base na letra crua da LGPD, torna-se irrefutável. Mas, o Voto
prossegue afastando qualquer dúvida que ainda pudesse pai-
rar sobre o tema, vejamos:
Nos termos do Decreto 9.746/2019 (vigen-
te à época dos fatos), é o INSS o responsável
por gerenciar as bases de dados cadastrais e
os procedimentos de consignações em be-
nefícios (art. 14, I, “a” e “c”, do Decreto nº
9.746/2019), bem como normatizar, orientar e
uniformizar os procedimentos de administra-
ção de informações de segurados e consigna-
ções em benefícios (art. 14, III, “a” e “c”, do
Decreto nº 9.746/2019). Igualmente, por meio
de sua Diretoria de Tecnologia da Informação
e Inovação, é responsável por estabelecer e
coordenar a execução da política de segurança
de tecnologia da informação e comunicações,
no âmbito do INSS (art. 12, VI, do Decreto nº
9.746-2019). Outrossim, nos termos do artigo
6º, § 1º, da Lei nº 10.820/2003, é o INSS quem
está autorizado a dispor, em ato próprio, sobre
as formalidades para habilitação das institui-
ções financeiras e sociedades de arrendamento
mercantil concessoras de crédito com desconto
em folha de pagamento e as demais condições
a serem observadas para a referida concessão.13
Ora definida a responsabilidade do INSS quanto a

guarda e segurança dos dados, sendo certo que seu papel nes-
te momento é o de controlador, esclarecemos que o papel do
controlador, como agente de tratamento, além das demais es-
tabelecidas em Lei, consiste na tomada de decisões referentes
ao tratamento dos dados pessoais sob sua guarda.
13
je/258868040 extraído em 05/07/2022.
461
Quanto a sua atividade, como regra geral, temos preconiza-

do no Capítulo IV, do tratamento de dados pessoais pelo poder pú-
blico, na Seção I – Das Regras, da LGPD, em seu Art. 23, in verbis:
Art. 23. O tratamento de dados pessoais pe-
las pessoas jurídicas de direito público re-
feridas no parágrafo único do art. 1º da Lei nº
12.527, de 18 de novembro de 2011 (Lei de
Acesso à Informação) , deverá ser realizado
para o atendimento de sua finalidade pú-
blica, na persecução do interesse público,
com o objetivo de executar as competências
legais ou cumprir as atribuições legais do
serviço público, desde que:
I - sejam informadas as hipóteses em que,

no exercício de suas competências, reali-
zam o tratamento de dados pessoais, for-
necendo informações claras e atualizadas
sobre a previsão legal, a finalidade, os pro-
cedimentos e as práticas utilizadas para a
execução dessas atividades, em veículos de
fácil acesso, preferencialmente em seus sí-
tios eletrônicos. (G.n.)
Para o caso apresentado no julgado a autora recebeu

ligações oferecendo serviços financeiros diversos, tais quais
créditos consignados e outros, em decorrência da existência
da pensão por morte, que atuaria como garantia da dívida
eventualmente contraída.
Seria o caso de compartilhamento de dados ou de fa-
lha na segurança? Em recurso, o INSS alegou que não houve
falha na segurança, assim a Excelentíssima Juíza Relatora,
Janaína Rodrigues Valle Gomes, entendeu que houve o com-
partilhamento dos dados da parte autora pelo INSS, vejamos:
462
Ocorre que no caso dos autos o que houve foi

compartilhamento ilegal de dados, pois a le-
gislação estabelece que dados pessoais de pes-
soa natural contidos em bancos de dados devem
ser protegidos, sendo utilizados apenas para
propósitos legítimos, específicos e informados
ao titular (art. 6, I), cabendo, aos agentes de tra-
tamento, a utilização de medidas de segurança
eficazes, aptas a impossibilitar o acesso não au-
torizado por terceiros (art. 46 e 47). (G.n.)
O referido Art. 46 da LGPD, em seu texto cita, in verbis:

Art. 46. Os agentes de tratamento devem
adotar medidas de segurança, técnicas e
administrativas aptas a proteger os dados
pessoais de acessos não autorizados e de si-
tuações acidentais ou ilícitas de destruição,
perda, alteração, comunicação ou qualquer
forma de tratamento inadequado ou ilícito.
§ 1º A autoridade nacional poderá dispor

sobre padrões técnicos mínimos para tor-
nar aplicável o disposto no caput deste arti-
go, considerados a natureza das informações
tratadas, as características específicas do tra-
tamento e o estado atual da tecnologia, es-
pecialmente no caso de dados pessoais sen-
síveis, assim como os princípios previstos
no caput do art. 6º desta Lei.
§ 2º As medidas de que trata o caput deste

artigo deverão ser observadas desde a fase
de concepção do produto ou do serviço até
a sua execução. (G.n.)
Assim como muitos, a autora passou a receber as li-

gações e os contatos indevidos quase que ato contínuo à con-
cessão do benefício por parte do INSS, o que levou a Relatora
463
a crer que houve “vazamento/transferência de dados do sis-

tema do INSS” e “que demonstra uma ausência de controle
e segurança em seu banco de dados, afrontando o direito à
privacidade dos seus beneficiários.”.
Por si só a situação de vazamento de dados de um
ente público já nos causa espanto, agora some a este es-
panto o fato de tal vazamento, ter ocorrido na base de da-
dos na maior autarquia e em um dos maiores repositórios
de informações sensíveis do Brasil. Antes de encerrar seu
voto, a Relatora destaca:
Por fim, importa observar que o assédio
por parte dos bancos e financeiras a apo-
sentados e pensionistas tem ocorrido de
forma constante, de modo que caberia
ao INSS implementar medidas admi-
nistrativas tendentes a evitar a violação
dos dados pessoais sob sua tutela, o que,
como se sabe, não vem ocorrendo, haja
vista o fácil acesso às informações si-
gilosas dos beneficiários pelas institui-
ções financeiras14. (G.n.)
Apesar de parecer mera sugestão, a fundamentação

dá-se não somente frente ao caso fático, mas em especial
à necessidade da execução de uma “tarefa de casa” para o
INSS, que aparentemente deixou de lado as lições de privacy
by design15 preconizadas no § 2º do Art. 46 da LGPD.
Por fim, depreende-se deste importante julgado, que
em se firmando como jurisprudência, poderá trazer segurança
jurídica aos beneficiários do INSS, visto que expõe e reprime
conduta desta autarquia em permitir que aposentados e pen-
14
je/258868040 extraído em 05/07/2022.
15
pbd_implement_7found_principles.pdf (iapp.org) acesso em 05/07/2022.
464
sionistas sejam costumeiramente assediados por empresas fi-

nanceiras a partir de seus dados “vazados/transferidos”.
Buscamos neste trabalho apresentar julgados que

mostrem a evolução do entendimento da justiça brasileira no
que se refere à proteção de dados pessoais e privacidade.
No primeiro julgado, tratamos da violação ou não dos
dados ligados a geolocalização. O ataque aqui ao direito de
privacidade e proteção de dados do indivíduo, mas também
ao abuso da autoridade coatora em sua decisão, que fere in-
clusive as liberdades asseguradas constitucionalmente a ou-
tros, não tocados pelo caso em discussão.
No segundo julgado, temos um caso de respon-
sabilização civil. Iniciamos análise com uma brevíssima
digressão sobre o nexo de causalidade e o ato danoso, e
após este introito, apresentamos nossas ponderações so-
bre o tema. Trouxemos três pontos de destaque: o primeiro
que trata da responsabilidade solidária e ressarcimentos de
dados mediante ação regressiva; o segundo que observa o
acesso irregular e ilicitude na utilização do banco de da-
dos; e o terceiro, mas não menos importante, que trata do
dano moral relacionado.
Nestes dois primeiros, empresas privadas e pessoas
físicas, ambos tocados pela Lei. No terceiro julgado foi
apresentado uma situação suis generis: a condenação de
uma Autarquia.
465
Três casos, três julgados com base na Lei Geral

de Proteção de Dados. Em comum, mais do que a Lei
de base, a perspectiva da adoção pela sociedade, mesmo
que de forma forçosa pelos tribunais, de um espírito de
consciência com o tido como bem mais preciso da era da
informação: os dados.
VI. REFERÊNCIAS
FONSECA, Milla Cerqueira. LGPD: Desafios e habilidades

para implementação. In: CANTO DE LIMA,Ana Paula Moraes;
SERAFIM, Anastácia do Amaral; DUARTE, Karina Bª de Oli-
veira. Advogado do Futuro. 1ª ed. São Paulo: Enlaw. Brasil, 2019.
JUIT.UmanodeLGPD,conheçaasestatísticas.Disponívelem:<
https://blog.juit.io/lgpd-um-ano/>Acesso em: 04 de julho de 2022.
VALOR ECONÔMICO. Empresas brasileiras não estão prontas

para lei de dados, aponta Gartner. Disponível em: < https://
valor.globo.com/empresas/noticia/2019/11/01/empresas-bra-
sileiras-nao-estao-prontas-para-lei-de-dados-aponta-gartner.
ghtml> Acesso em: 04 de julho de 2022.TEPEDINO, Gustavo;
TERRA, Aline de Miranda; CRUZ GUEDES, Gisela Sampaio
da. Fundamentos do Direito Civil. São Paulo, 3ª Edição. Editora
Forense. 2021
466
QUANTIFICANDO O QUE IMPORTA: MÉTRICAS

DE DESEMPENHO E SUA IMPORTÂNCIA PARA O
PROGRAMA DE PRIVACIDADE
Maria Beatriz Saboya Barbosa1
Não é de hoje que as maiores e mais bem sucedidas

corporações - especialmente aquelas voltadas para inovação,
economia criativa e desenvolvimento de novas tecnologias -
vêm sustentando a importância da implementação de métricas
e indicadores, também conhecidos como KPIs (Key Perfor-
mance Indicators2), para uma adequada percepção de aspectos
gerenciais e estratégicos do negócio. Vejamos a seguir algumas
frases de especialistas no tema que representam com maestria
este movimento e sua relevância na economia global:
“Não se gerencia o que não se mede, não se

mede o que não se define, não se define o que
não se entende, e não há sucesso no que não
1
Advogada especializada em Direito Digital, Privacidade e Proteção de Da-
dos. Graduada em Direito pela Universidade Federal de Pernambuco – UFPE.
Membra certificada com as credenciais CIPP/E, CIPM e CDPO/BR, todas
emitidas pela International Association of Privacy Professionals – IAPP. Fun-
dadora da rede Mulheres Na Privacidade. Coautora dos livros “Direito Expo-
nencial: O Papel das Novas Tecnologias no Jurídico do Futuro” (Ed. Revista
dos Tribunais) e “LGPD Aplicada” (Ed. Atlas e Gen Jurídico), este último
tendo sido indicado na lista de Bibliografias Selecionadas sobre Lei Geral de
Proteção de Dados Pessoais do Superior Tribunal de Justiça no ano de 2022.
2
Indicador-chave de performance/desempenho (tradução livre).
467
se gerencia”3 - William Edwards Deming,

engenheiro, estatístico e professor norte-a-
mericano conhecido como “o pai do controle
de qualidade”.
“Sem medição, não há gestão”4 - Vicente

Falconi, professor, consultor e considerado
um dos maiores gurus de gestão no País.
“Organizações de alto desempenho concen-

tram-se no trabalho que é importante e são
igualmente claras sobre o que não importa.
OKRs5 impelem os líderes a fazer escolhas
difíceis. Eles são uma ferramenta de comu-
nicação de precisão para departamentos,
equipes e colaboradores individuais. Ao
dissipar a confusão, OKRs nos dão o foco
necessário para vencer”6 - John Doerr, reno-
mado capitalista de risco que ajudou gigan-
tes da tecnologia - tais como Intel e Google
- a alcançarem crescimento exponencial.
3
SENA, Catarina. Quem não controla, não gerencia! Um guia inicial para
você começar a monitorar a performance da sua empresa. Disponível em
<https://administradores.com.br/artigos/quem-nao-controla-nao-geren-
cia> . Acesso em: 29 jun. 2022.
4
CORREA, Cristiane. Vicente Falconi - O que importa é resultado. O pro-
fessor de Engenharia que revolucionou o modelo de gestão no Brasil. Rio
de Janeiro: Primeira Pessoa, 2017.
5
Objectives and Key Results ou “Objetivos e Resultados-Chave”, em tra-
dução livre, corresponde a uma metodologia de gestão muito utilizada por
empresas no Vale do Silício para inovação e crescimento.
6
DOERR, John. Avalie o que importa: Como Google, Bono Vox e a funda-
ção Gates sacudiram o mundo com os OKRs. 1ª Edição. Alta Books, 2019.
468
A partir deste panorama, e por estarmos inseridos

em uma conjuntura que consagra a existência de uma “data
driven society” - ou seja, um ecossistema no qual a grande
maioria das atividades e modelos de negócio é movida, ope-
rada ou controlada com o emprego substancial de dados e
cruzamento de informações -, busca-se cada vez mais o am-
paro de elementos quantificáveis para endereçamento de ris-
cos e tomada de decisões.
Para melhor ilustrar a importância de métricas e indi-

cadores para fins de controle, monitoramento e gestão, pense-
mos, por analogia, na situação em que se encontra uma pessoa
dirigindo um carro. Não fosse pelo painel de instrumentos
existente no veículo, o(a) motorista dificilmente teria como
obter informações sobre aspectos essenciais como nível de
combustível, quilometragem percorrida, funcionamento do
motor e da injeção eletrônica ou mesmo a velocidade com
que se está trafegando. Nessa circunstância, pode até ser que
a pessoa chegue ao destino pretendido de toda forma, mas
certamente o percurso será feito com muito mais percalços do
que se recebesse dados precisos e projetados em tempo real.
Racional semelhante há de ser aplicado na construção

de um programa de privacidade robusto, eficaz e assertivo: pro-
fissionais de proteção de dados capazes de focar não somente
em aspectos de conformidade legal, mas que também estejam
capacitados para agregar informações estratégicas aptas a medir,
avaliar e aperfeiçoar os controles internos de privacidade, indu-
bitavelmente se destacam no ambiente corporativo e podem ser
determinantes para o bom andamento do negócio.
469
Na mesma linha vai a interpretação da professora

Margareth Carneiro7, que assim escreveu:
Infelizmente os indicadores são mui-

tas vezes relegados a segundo plano na
gestão de projetos e programas, ou no
máximo busca-se o acompanhamento
dos prazos e custos como indicadores
de forma isolada. Mas existe uma gama
enorme de possibilidades de indicado-
res que podem ser usados tanto para
análise do desempenho quanto para a
avaliação do sucesso do projeto.
Vemos, portanto, que a implementação de indicadores

de desempenho, quando bem executada, permite não somen-
te a identificação de eventuais vulnerabilidades e pontos de
atenção a serem solucionados, mas também funciona como
relevante aporte estratégico para a defesa de novas medidas
a serem concretizadas e para reflexão sobre aspectos de me-
lhoria contínua eventualmente cabíveis. Entre os benefícios e
vantagens deste tipo de recurso gerencial, temos que o uso de
KPIs nas rotinas do programa de privacidade:
● Proporciona uma visão holística e panorâ-

mica das medidas de conformidade imple-
mentadas na corporação;
7
CARNEIRO, Margareth Fabíola dos Santos. Indicadores - A maneira de
se acompanhar progresso e medir sucesso de programas e projetos. In:
Revista Mundo Project Management. Jan. 2005.
470
● Permite a identificação de vulnerabilidades (se-

jam elas sistêmicas, operacionais ou até mesmo
relacionadas ao chamado “capital humano”);
● Contribui para a evolução do grau de maturidade
do programa, trazendo uma sensação de avanço e
escalabilidade das operações de privacidade;
● Minimiza eventuais pontos de desalinha-
mento e conflito com funcionários, clien-
tes, fornecedores e demais stakeholders;
● Viabiliza a manutenção da eficácia do pro-
grama de privacidade e o atendimento de
boas práticas a nível de governança;
● Confere clareza ao Encarregado8 (Data
Protection Officer) e ao time de privacida-
de quanto ao engajamento dos colaborado-
res em relação ao tema;
● Facilita a realização de diálogos significativos
com as demais áreas, reduzindo terminologias
específicas que, muitas vezes, não são de conhe-
cimento de todos os membros da organização;
● Confere transparência e visibilidade à alta
administração no que tange ao progresso
das atividades de evolução do programa de
compliance em proteção de dados;
● Serve como lastro para a definição de inves-
timentos adicionais em determinados temas e
aspectos relevantes à gestão de privacidade.
8
Art. 5º. Para os fins desta lei, considera-se:
VIII - encarregado: pessoa indicada pelo controlador e operador para
atuar como canal de comunicação entre o controlador, os titulares dos
dados e a Autoridade Nacional de Proteção de Dados (ANPD);
471
Nesse sentido, o investimento na criação de um pro-

grama de privacidade passível de metrificação se mostra
cada vez mais relevante para a interlocução com o mais alto
comando dentro de uma entidade, servindo para colocar a
alta gestão na mesma página quanto à importância do tema
e da sua continuidade a nível estratégico. A esse respeito,
uma pesquisa promovida pela Cisco em 20229 revelou que
94% (vasta maioria, portanto) das organizações responden-
tes costuma relatar um ou mais indicadores de privacidade
diretamente ao Board: enquanto algumas empresas chegam
a reportar até 10 métricas referentes ao tema, a maioria vem
comunicando entre um a três indicadores, chegando a uma
média de 2,6. Entre os indicadores mais reportados estão
aqueles relacionados a descobertas decorrentes de auditorias
do programa de privacidade (34%), incidentes de segurança
envolvendo dados pessoais (33%) e resultados de avaliações
de impacto à privacidade (32%). Confira-se a figura abaixo,
consolidada no mesmo estudo:
Não se pode perder de vista, inclusive, que a plena

vigência da Lei Geral de Proteção de Dados (LGPD) no or-
472
denamento jurídico brasileiro trouxe consigo alguns coman-

dos que estão diretamente relacionados com a prática da
implementação de indicadores de desempenho, o que exige
dos agentes de tratamento, passada a fase inicial de ações de
conformidade mínima à legislação, que sejam feitas ponde-
rações sobre a real efetividade e assertividade do programa
de privacidade construído. Sobre este ponto, vale mencionar
expressamente os seguintes trechos da Lei:

pessoais deverão observar a boa-fé e os se-
guintes princípios:
(...)

demonstração, pelo agente, da adoção de
medidas eficazes e capazes de comprovar
a observância e o cumprimento das nor-
mas de proteção de dados pessoais e, inclu-
sive, da eficácia dessas medidas.
(...)
Art. 50. § 2º Na aplicação dos princípios in-

dicados nos incisos VII e VIII do caput do
art. 6º desta Lei, o controlador, observados
a estrutura, a escala e o volume de suas ope-
rações, bem como a sensibilidade dos dados
tratados e a probabilidade e a gravidade dos
danos para os titulares dos dados, poderá:
I - implementar programa de governança em

privacidade que, no mínimo:
(...)
h) seja atualizado constantemente com base

em informações obtidas a partir de moni-
473
toramento contínuo e avaliações periódicas;

II - demonstrar a efetividade de seu progra-
ma de governança em privacidade quando
apropriado e, em especial, a pedido da autori-
dade nacional ou de outra entidade responsável
por promover o cumprimento de boas práticas
ou códigos de conduta, os quais, de forma inde-
pendente, promovam o cumprimento desta Lei.
Fica claro, portanto, que mais do que apenas recomen-

dável do ponto de vista comercial ou estratégico, a constru-
ção de métricas e indicadores de performance é totalmente
compatível com o que diz a própria LGPD no que tange a
boas práticas em matéria de privacidade e proteção de dados.
I. O QUE SÃO OS INDICADORES DE DESEMPENHO

E COMO ESTES PODEM SER MATERIALIZADOS
Em linhas gerais, um indicador (ou métrica) de de-

sempenho pode ser conceituado como uma medida quantifi-
cável de avaliação do resultado de um determinado processo,
atividade, projeto ou estratégia específica. Um KPI, portanto,
deve ser capaz de medir o desempenho individual e/ou cole-
tivo de projetos, times e unidades de negócio em relação às
suas metas e objetivos estratégicos.
Em tal dinâmica, os KPIs podem fornecer insights rele-

vantes sobre o progresso e evolução de determinada iniciativa,
auxiliando na tomada de decisões e, ainda, contribuindo para a
saúde e vitalidade organizacional. Funcionam, portanto, como
verdadeira bússola na estrutura de uma corporação, auxilian-
do-a a se manter no curso de sua jornada previamente traçada.
474
Douglas W. Hubbard e Richard Seiersen10 explicam

que, para os fins práticos de tomada de decisão, devemos
entender a atividade de medição ou metrificação (“Measu-
rement”) como uma série de observações capazes de reduzir
quantitativamente um cenário de incertezas.
Segundo os autores, este ponto de vista da ativida-

de de metrificação como um sendo um processo de “redução
da incerteza” é o que torna esta abordagem crucial para os
negócios, visto que, ainda que não se possa eliminar com-
pletamente a força do desconhecido - especialmente quando
se está diante de questões dinâmicas e constantemente mutá-
veis envolvendo segurança da informação, controles de risco,
privacidade e proteção de dados -, até mesmo uma redução
tímida de imprecisão em um cenário de incertezas pode re-
presentar uma economia patrimonial na cifra de milhões.
Como muito bem pontuado pelo The Future of Priva-

cy Forum em relatório específico sobre o tema11, métricas de
privacidade são avaliações quantitativas e qualitativas que a
liderança especializada utiliza para medir, gerenciar, acom-
panhar, comparar, relatar e aperfeiçoar os componentes do
programa de privacidade, estabelecendo, assim, uma relação
de confiança, transparência e visibilidade.
De acordo com as recomendações da International

Association of Privacy Professionals em seu manual para
10
HUBBARD, Douglas W.; SEIERSEN, Richard. How to Measure Any-
thing in Cybersecurity Risk. New Jersey: John Wiley & Sons, 2016. P. 39.
11CULNAN, Mary; TENE, Omar. The Future of Privacy Forum. Privacy
Metrics Report. Disponível em: <https://fpf.org/wp-content/uploads/2022/03/
FPF-PrivacyMetricsReport-R9-Digital.pdf>. Acesso em: 30 jun. 2022.
475
Gestão do Programa de Privacidade12,
Uma métrica é uma unidade de avaliação que

deve ser tão objetiva quanto possível. Métricas
podem fornecer dados que ajudam a responder
perguntas específicas. Como regra básica, uma
métrica deve agregar valor, refletindo com
precisão o estado dos objetivos e das metas
comerciais. A mesma lógica se aplica aos pro-
gramas de privacidade: um objetivo pode ser
abrangente, mas uma métrica deve ser estrutu-
rada de uma forma mensurável.
Líderes de privacidade ao redor do mundo têm se

apropriado do chamado SMART Framework13 para desenhar
métricas capazes de avaliar o cumprimento de seus objetivos,
demonstrando a importância de cada indicador e garantindo
que medidas e tarefas sejam implementadas dentro das ja-
nelas de tempo pré-definidas. De acordo com a abordagem
SMART, as métricas devem, idealmente, ser:
● Específicas - Specific;
● Mensuráveis - Measurable;
● Acionáveis - Actionable;
● Relevantes - Relevant;
● Delimitadas no tempo - Time Bound.
12
DENSMORE, Russell R. Gestão do Programa de Privacidade: ferra-
mentas para gerenciar a privacidade na sua organização. 2ª Edição. Ports-
mouth: IAPP, 2019. P. 235.
13
CULNAN, Mary; TENE, Omar. The Future of Privacy Forum. Privacy Me-
trics Report. Disponível em: <https://fpf.org/wp-content/uploads/2022/03/
FPF-PrivacyMetricsReport-R9-Digital.pdf>. Acesso em: 30 jun. 2022.
476
Em linhas gerais, portanto, os indicadores são me-

didas que expressam ou quantificam os resultados de deter-
minada realidade, mostrando-se bastante úteis para que seja
possível ter uma visão geral do desempenho de organizações,
bem como um acompanhamento dos objetivos traçados e,
dentre eles, quais foram alcançados e quais precisam ser me-
lhor conduzidos e/ou ajustados.
II. RECOMENDAÇÕES GERAIS PARA A IMPLE-

MENTAÇÃO DE INDICADORES DE PRIVACIDADE
Traçadas considerações iniciais sobre o conceito de

métricas e indicadores e sua importância para uma leitura
abrangente de processos e negócios, vale reforçar que, por
mais relevantes que se mostrem diretrizes gerais sobre o
tema, é imprescindível que estas sejam devidamente compa-
tibilizadas com a realidade de cada organização, pois este é
um assunto que não possui soluções “one-size-fits-all” e que,
para funcionar satisfatoriamente, precisa refletir as particula-
ridades de cada contexto específico.
À vista disso, fica claro que não existe um padrão

único de indicadores de privacidade que seja aplicável a toda
e qualquer circunstância, mesmo porque cada empresa possui
desafios, riscos e processos de tomada de decisão que variam
bastante de acordo com aspectos como porte, modelo de ne-
gócio e setor de atuação, estando o desenho dos indicadores,
ainda, intimamente relacionado ao grau de complexidade das
atividades de tratamento de dados pessoais realizadas.
477
Nas próximas linhas abordaremos alguns pontos de

atenção e recomendações práticas para implementação deste
racional em programas de privacidade.
III. DEFINIÇÃO DE MÉTRICAS CLARAS, OBJETI-

VAS E FACTÍVEIS:
Para que a implementação de indicadores de per-

formance seja eficaz, clareza e objetividade são ele-
mentos que devem permear todo o processo de sua
estruturação, de maneira que seja possível conferir mate-
rialidade e tangibilidade ao que se está querendo medir.
Neste sentido, é recomendável fugir de abstrações ou
indicadores que somente expressem propósitos genéricos, ou
seja, ao invés de traçar um comando amplo como, por exem-
plo, o de “garantir maior aculturamento do assunto privacida-
de e proteção de dados na organização”, acaba sendo muito
mais útil desenhar como meta a realização de XX sessões de
treinamento no ciclo anual e, a partir daí, utilizar a métrica de
“número de treinamentos realizados no ano” como referên-
cia objetiva, direcionada e tangível para avaliação do pilar de
conscientização dentro do escopo do programa de privacidade.
Importante ressaltar, inclusive, que mais métricas
não implicam em mais valor agregado nesta abordagem.
Na realidade, deve-se tomar bastante cuidado para, no ím-
peto de buscar respostas e aprofundamento ao programa
de privacidade, não inundar os times com tantas categorias
e tipos diferentes de indicadores que, de tão numerosos,
acabam sobrecarregando o staff e tornando desnecessaria-
mente complexa a posterior análise deste painel gerencial.
478
Assim, recomenda-se começar com um rol enxuto

de indicadores que reflitam questões elementares à luz da
legislação de proteção de dados aplicável e que priorizem
os maiores riscos de privacidade que a empresa possui,
para então, progressivamente, pensar-se na necessidade
(ou não) de expansão de categorias ou mesmo de recali-
bragem para métricas mais desafiadoras.
IV. PROMOÇÃO DE VISIBILIDADE E AMPLA DIVUL-

GAÇÃO DOS PROPÓSITOS PRETENDIDOS
Tão importante quanto a precisão e objetividade dos

indicadores é a total visibilidade do cenário que motivou
aquela avaliação, sendo essencial, portanto, que, além da
definição sobre “o que” se está medindo, também reste bem
claro o “por quê” de aquele elemento estar sendo medido.
A tarefa, portanto, passa por um necessário ali-
nhamento quanto ao propósito: para que todos com-
preendam o que se está avaliando, estes também devem
saber para que queremos fazê-lo, e este senso de impor-
tância, por sua vez, deve ser continuamente replicado
para as partes envolvidas. Assim, a definição e ampla
divulgação dos objetivos pretendidos, além de deixar
todos na mesma página, pode trazer relevantes pistas
sobre o que determinado indicador efetivamente signifi-
ca, o que certamente facilitará seu manuseio e operacio-
nalização na prática mesmo pelos times que não estejam
tão familiarizados com as operações de privacidade e
proteção de dados no dia-a-dia.
479
Ademais, o desenho dos KPIs relacionados ao programa

de privacidade precisa caminhar em total sintonia com as demais
métricas da empresa como um todo, não devendo ser concebidas
de maneira isolada e desconectada dos interesses de áreas distintas.
Exemplifico: suponhamos que o time de privacidade de uma
organização tenha idealizado uma métrica para que pelo me-
nos 75% das solicitações de acesso por titulares de dados
pessoais sejam atendidas em até dez dias (até mesmo para
ganhar conforto em relação ao prazo definido pela LGPD),
enquanto o time de atendimento ao cliente estabeleceu que
todos os chamados abertos no canal pertinente, independen-
temente do assunto, devem ser finalizados satisfatoriamente
em até quarenta e oito horas para a manutenção de um padrão
de excelência na prestação do serviço. Não há, neste caso,
um time mais correto do que o outro, mas este descolamen-
to entre cada um dos objetivos traçados pode dificultar não
somente a comunicação entre as equipes, mas ocasionar fric-
ções desnecessárias e que prejudicam uma visão harmônica e
coesa dentro da organização.
V. INCORPORAÇÃO DE REPETIBILIDADE AOS IN-

DICADORES:
Outro elemento que não pode ser deixado de lado neste

processo é a comparabilidade, ou seja, deve-se ser capaz de criar
indicadores repetíveis e que permitam que resultados de ciclos
anteriores sejam confrontados com o atual panorama para uma
análise pautada na evolução da jornada de conformidade.
Assim, é preferível abrir mão de indicadores que fun-

cionem como um fim em si mesmo (por exemplo: criar pro-
cedimento interno para resposta a solicitações de direitos dos
480
titulares) e prestigiar métricas que representem critérios pas-

síveis de reprodução (atingir pelo menos xx% de satisfação
entre os titulares de dados pessoais atendidos).
A definição de indicadores repetíveis, inclusive, per-

mite que a consolidação de relatórios de análise e divulgação
de resultados de cada ciclo sejam visualmente representadas
de uma maneira mais intuitiva e facilmente compreensível.
VI. OBSERVÂNCIA DE COMPATIBILIDADE COM

O(S) DESTINATÁRIO(S)
Quando estamos diante de atividades de gerencia-

mento e manutenção do programa de privacidade, é muito
comum que os desafios variem conforme o público-alvo rela-
cionado a cada frente que está sendo avaliada. A esse propó-
sito, o supramencionado manual para Gestão do Programa de
Privacidade da IAPP14 dispõe:
A medição de desempenho é utilizada pelas orga-

nizações para informar os diferentes públicos (por
exemplo, a liderança, a administração, os funcio-
nários) sobre as operações. Os sistemas de ava-
liação devem ser fáceis de entender, passíveis de
repetição e que reflitam os indicadores relevantes.
O trabalho de metrificação do programa de privacida-

de envolve a compreensão de que há diferentes públicos (se-
jam eles internos ou externos) para diferentes métricas: um
Op. Cit. P. 235.

14
481
indicador, por exemplo, pode se mostrar útil somente a nível

gerencial (camada mais high level) - sendo utilizado para que
os dirigentes de determinada corporação possam ter visibili-
dade quanto ao retorno sobre os investimentos já realizados
no programa -, enquanto outro indicador, por sua vez, pode
servir para demonstrar à autoridade de proteção de dados a
quantidade de relatórios de impacto e análises de risco de pri-
vacidade que foram conduzidos em determinado período.
Assim, a elaboração dos indicadores de desempenho

do programa de privacidade deve ser pautada em parâmetros
que quantifiquem os interesses específicos dos destinatários
de cada métrica, ensejando, ainda, reflexões quanto à lingua-
gem e terminologia aplicáveis a cada contexto, área de negó-
cio, vertical ou célula que se pretende impactar.
VII. GARANTIA DE CLAREZA AOS PAPÉIS E RES-

PONSABILIDADES ELEGIDOS
Passada a fase de ideação dos indicadores, é indispen-

sável tirá-los do papel e viabilizar sua aplicabilidade, esta-
belecendo, de maneira clara e suficientemente comunicada,
quem serão os responsáveis por executar, monitorar e catalo-
gar cada uma das métricas definidas.
Considerando que as métricas, no mais das vezes, vão se

repaginando na medida em que os objetivos e interesses orga-
nizacionais evoluem, é essencial que aqueles designados como
“donos” de cada indicador sejam devidamente instruídos não so-
mente a defender o propósito por trás de cada uma das análises,
mas que também sejam capazes de identificar pontos de atenção
482
na coleta/registro dos dados e reportar a quem necessário para

eventuais ajustes na estratégia de apuração e quantificação.
Destaca-se, ainda, a importância de que os “donos”

de cada frente que será objeto de metrificação consigam ava-
liar, periodicamente, se aquele indicador continua pertinente
e compatível com as necessidades da organização, devendo
estes indivíduos estar aptos a interpretar se aquele elemento
ainda agrega valor no caso concreto e, mais ainda, agir de
modo a viabilizar a realização de melhorias para o constante
aperfeiçoamento deste fluxo.
VIII. CONSOLIDAÇÃO PERIÓDICA DE RESULTADOS

E REAVALIAÇÃO PARA AJUSTES DE ROTA
Por fim, após definidas e coletadas as informações ne-

cessárias para a construção do panorama geral de métricas do
programa de privacidade, é hora de realizar o que talvez seja
a etapa mais relevante de todo o processo: a interpretação
aprofundada e consistente dos indicadores consolidados.
Muitas são as abordagens possíveis neste momento: de

ferramentas tecnológicas de gestão a planilhas, fluxogramas,
gráficos, apresentações virtuais e relatórios escritos, o foco, em
qualquer dos formatos que se escolha, reside em gerar valor
ao que se estabeleceu como objetivo dentro daquele contex-
to. Assim, é primordial que as organizações tomem um tempo
para refletir sobre os dados obtidos, garantindo visibilidade e
transparência dos achados e, mais ainda, dos ganhos obtidos a
partir do trabalho de quantificação daqueles indicadores.
483
Uma forma de facilitar a ampla adesão ao desenvolvi-

mento de indicadores de desempenho é traçar previamente um
cronograma claro para sua execução, inclusive com a designa-
ção de datas específicas para a conclusão de cada fase e defini-
ção de uma etapa de finalização do ciclo em que haja divulga-
ção ampla dos resultados apurados. Deste momento “final” de
análise devem participar múltiplos stakeholders, sendo reco-
mendável a criação de comitês ou grupos de trabalho formados
por lideranças de diversas áreas para um debate multidiscipli-
nar e consequente aprofundamento da visão geral obtida.
Neste momento, ganha-se não somente em aporte

estratégico e confirmação da adesão da empresa aos objeti-
vos anteriormente estabelecidos, mas também se abre espaço
para que o programa de privacidade e sua relevância sejam
assimilados por outros departamentos para além daqueles
imediatamente responsáveis pelo tema.
Vejamos o que disse John Doerr15 sobre a implemen-

tação de um método adequado de gestão de indicadores:
Um sistema de gerenciamento de metas eficaz

- um sistema de OKRs - liga os objetivos à mis-
são mais ampla de uma equipe. Respeita metas
e prazos enquanto se adaptam às circunstân-
cias. Promove feedback e comemora vitórias,
grandes e pequenas. Mais importante, ele ex-
pande nossos limites. Isto nos leva a lutar pelo
que pode parecer fora de nosso alcance.
Op. Cit. P. 12.

15
484
IX. CONSIDERAÇÕES FINAIS
Indicadores de desempenho do programa de privaci-

dade mostram-se especialmente relevantes não somente para
o time especializado no gerenciamento do tema, mas funcio-
nam também como elemento significativo de interlocução
com toda a estrutura organizacional e com públicos externos,
tornando-se um aspecto central da visão estratégica de diver-
sas corporações que desejam se estabelecer positivamente em
matéria de proteção de dados.
Mais do que uma mera atividade operacional, este

tipo de abordagem deve ser enxergado como sendo apenas o
passo inicial de uma caminhada que não possui linha de che-
gada: o monitoramento deve ser ativo e constante, para que
se possa alocar adequadamente tempo e recursos na evolução
e maturidade do programa e, ainda, corresponder às expec-
tativas de clientes, colaboradores, parceiros, fornecedores,
reguladores e do mercado de um modo geral.
X. REFERÊNCIAS
BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral

de Proteção de Dados. Disponível em: <http://www.planal-
to.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm>.
Acesso em: 15 jun. 2022.
CARNEIRO, Margareth Fabíola dos Santos. Indicadores - A
485
maneira de se acompanhar progresso e medir sucesso de

programas e projetos. In: Revista Mundo Project Manage-
ment. Jan. 2005.
CISCO Secure. 2022 Data Privacy Benchmark Study. Dis-

ponível em: <https://www.cisco.com/c/dam/en_us/about/
doing_business/trust-center/docs/cisco-privacy-benchmark-
-study-2022.pdf?CCID=cc000742&DTID=odicdc000016>.
CORREA, Cristiane. Vicente Falconi - O que importa é resul-

tado. O professor de Engenharia que revolucionou o modelo
de gestão no Brasil. Rio de Janeiro: Primeira Pessoa, 2017.
CULNAN, Mary; TENE, Omar. The Future of Privacy Fo-

rum. Privacy Metrics Report. Disponível em: <https://fpf.
org/wp-content/uploads/2022/03/FPF-PrivacyMetricsRepor-
t-R9-Digital.pdf>. Acesso em: 30 jun. 2022.
DENSMORE, Russell R. Gestão do Programa de Privaci-

dade: ferramentas para gerenciar a privacidade na sua
organização. 2ª Edição. Portsmouth: IAPP, 2019.
DOERR, John. Avalie o que importa: Como Google, Bono

Vox e a fundação Gates sacudiram o mundo com os OKRs.
1ª Edição. Alta Books, 2019.
HUBBARD, Douglas W.; SEIERSEN, Richard. How to

Measure Anything in Cybersecurity Risk. New Jersey:
John Wiley & Sons, 2016.
486
PALHARES, Felipe et al. Compliance digital e LGPD. Co-

leção Compliance, vol. 5 - Coordenação: Irene Patrícia Diom
Nohara, Luiz Eduardo de Almeida. São Paulo: Thomson
SENA, Catarina. Quem não controla, não gerencia! Um

guia inicial para você começar a monitorar a performan-
ce da sua empresa. Disponível em <https://administradores.
com.br/artigos/quem-nao-controla-nao-gerencia>. Acesso
em: 29 jun. 2022.
POLONETSKY, Jules; TENE, Omer. Measuring privacy pro-

grams: The role of metrics. The Privacy Advisor, IAPP, 2022.
Disponível em: <https://iapp.org/news/a/measuring-privacy-
-programs-the-role-of-metrics/>. Acesso em: 29 jun. 2022.
487
O DEVER DE INDENIZAR POR QUEBRA DE

SIGILO DAS COMUNICAÇÕES PELA PUBLICAÇÃO
DE MENSAGENS PRIVADAS EM APLICATIVOS.
Marina de Araújo Lopes1
I. INTRODUÇÃO
No atípico biênio 2020/2021, a sociedade foi forçada a

encarar um novo cotidiano em que as relações virtuais ganharam
um espaço ainda maior dentro das interações e da intimidade de
seus usuários. De acordo com os professores Paulo Gonet e Gil-
mar Mendes2 (2014, p. 403): “O ser humano se forma no contato
com o seu semelhante, mostrando-se a liberdade de se comunicar
como condição relevante para a própria higidez psicossocial da
pessoa. O direito de se comunicar livremente conecta-se com a
característica da sociabilidade, essencial ao ser humano”.
Os aplicativos de troca de mensagens chegaram ao
Brasil muito antes da pandemia, mas, se antes não era utilizado
por uma grande maioria, hoje ouso dizer que sim. Não somente
pessoas físicas de utilizam dessa ferramenta, mas pessoas ju-
rídicas, também. Diversas empresas se utilizam de aplicativos
para troca de mensagens com os consumidores estando assim,
cada vez mais em desuso o famoso “call center”.
1
Advogada, Sócia da Siqueira Castro Advogados, possui L.L.LM em Direito
Empresarial no IBMEC e Pós Graduada em Processo Civil pela EBRADI.
2
MENDES, Gilmar; BRANCO, Gonet Gustavo Paulo. Curso de Direito
Constitucional. São Paulo: Saraiva, 2014.
488
Se a sociedade se utiliza de uma plataforma para co-

municação, certamente teremos conflitos oriundos dessa fer-
ramenta. Então, quais são os limites, deveres e direitos que os
comunicadores possuem?
Em recente artigo, falamos sobre “O dever de indeni-
zar por mensagens ofensivas em grupo de aplicativos”3 em
que foi demonstrado que o envio de mensagens com o intuito
de expor e desonrar alguém, quando enviadas em grupos de
aplicativo, ferem a honra subjetiva e ensejam no dever de
indenizar por dano moral.
Mas e a publicação, por meio de “print screen” de
conversas privadas, gera o mesmo dever de indenizar? So-
bre este questionamento que se passará a discorrer a partir de
uma análise constitucional, infraconstitucional, bem como do
acórdão proferido pelo Superior Tribunal de Justiça nos autos
do Recurso Especial nº 1.903.273/PR.
II. DA TUTELA CONSTITUCIONAL DO SIGILO DE

INFORMAÇÕES SOB O ASPECTO DE PUBLICAÇÃO
DE MENSAGENS TROCADAS DE FORMA PRIVADA
EM APLICATIVOS
A intimidade, a vida privada e a confidencialidade das

correspondências, são protegidas pela Constituição Federal
de 1988 em seu artigo 5º:
“Art. 5º Todos são iguais perante a lei, sem
distinção de qualquer natureza, garantindo-
3
LOPES, Marina; SILVA, Rayana. O dever de indenizar por mensagens
ofensivas em grupo de aplicativos. Âmbito Jurídico. Disponível em: ht-
tps://ambitojuridico.com.br/noticias/9038900/ . Acesso em 03/07/2022.
489
-se aos brasileiros e aos estrangeiros resi-

dentes no País a inviolabilidade do direito à
vida, à liberdade, à igualdade, à segurança e
à propriedade, nos termos seguintes:
(...)
X - São invioláveis a intimidade, a vida pri-

vada, a honra e a imagem das pessoas, asse-
gurado o direito a indenização pelo dano ma-
terial ou moral decorrente de sua violação;
(...)
XII - é inviolável o sigilo da correspondência

e das comunicações telegráficas, de dados e
das comunicações telefônicas, salvo, no últi-
mo caso, por ordem judicial, nas hipóteses e na
forma que a lei estabelecer para fins de investi-
gação criminal ou instrução processual penal;”.
Veja, portanto, que a Constituição Federal de 1988

não garantiu proteção só aqueles bens jurídicos de nature-
za patrimonial como a propriedade, mas também direitos de
personalidade como a intimidade, a honra, a vida privada e
a imagem, além de, igualmente, conceder o status de direi-
to fundamental ao sigilo das correspondências, sendo devida
justa reparação em caso de dano.
O direito fundamental ao sigilo das comunicações tra-
ta de correspondência (cartas, boletos, publicidade direciona-
da e etc.), de comunicações telegráficas (telex, telegrama), de
dados (fiscais, bancários), de telemática (internet, intranet) e
telefônicas (aparelhos fixos ou celulares).
Sobre este aspecto, o Professor Tércio Sampaio Ferraz
muito bem disseca o inciso constitucional e discorre suas refle-
490
xões em estudo desenvolvido sobre o “Sigilo de dados: o direito

à privacidade e os limites à função fiscalizadora do Estado”4:
“O sigilo, no inciso XII do art. 5º, está re-
ferido à comunicação, no interesse da defe-
sa da privacidade. Isto é feito, no texto, em
dois blocos: a Constituição fala em sigilo
‘da correspondência e das comunicações
telegráficas, de dados e das comunicações
telefônicas’. Note-se, para a caracterização
dos blocos, que a conjunção e une corres-
pondência com telegrafia, segue-se uma
vírgula e, depois, a conjunção de dados com
comunicações telefônicas. Há uma simetria
nos dois blocos. Obviamente o que se regula
é comunicação por correspondência e tele-
grafia, comunicação de dados e telefônica. O
que fere a liberdade de omitir pensamento é,
pois, entrar na comunicação alheia, fazendo
com que o que devia ficar entre sujeitos que
se comunicam privadamente passe ilegitima-
mente ao domínio de um terceiro. Se alguém
elabora para si um cadastro sobre certas pes-
soas, com informações marcadas por ava-
liações negativas, e o torna público, poderá
estar cometendo difamação, mas não quebra
sigilo de dados. Se estes dados, armazenados
eletronicamente, são transmitidos, privada-
mente, a um parceiro, em relações merca-
dológicas, para defesa do mercado, também
não está havendo quebra de sigilo.
Mas, se alguém entra nesta transmissão como

um terceiro que nada tem a ver com a relação
4
FERRAZ, Tércio Sampaio. Sigilo de dados: o direito à privacidade e os limites
à função fiscalizadora do Estado, Cadernos de Direito Constitucional e Ciência
Política, São Paulo, Revista dos Tribunais, n. 1, p. 77-82, 1992; e Revista da
Faculdade de Direito da Universidade de São Paulo, v. 88, p. 447, 1993.
491
comunicativa, ou por ato próprio ou porque

uma das partes lhe cede o acesso indevida-
mente, estará violado o sigilo de dados. A dis-
tinção é decisiva: o objeto protegido no direi-
to à inviolabilidade do sigilo não são os dados
em si, mas a sua comunicação restringida (li-
berdade de negação). A troca de informações
(comunicação) privativa é que não pode ser
violada por sujeito estranho à comunicação”.
Sob o prisma dessa distinção e conceituação é que

se verifica que o Constituinte também incluiu como direito
fundamental o direito o direito de informar, de se informar
e de ser informado e o livre acesso à informação e a dados
públicos e privados que são de relevância popular. E aqui ini-
cia-se as pouquíssimas exceções ao inciso XII do artigo 5º da
Constituição Federal.
Cumpre aqui destacar, mas sem profunda análise, que
essa garantia constitucional não é absoluta. Na esfera criminal
a garantia constitucional pode ser mitigada por autorização
judicial, em decisão motivada por juízo competente, sob pena
de nulidade, para fins de investigação ou instrução criminal,
quando houver indício razoável da autoria ou participação em
infração pena; se a prova não puder ser obtida por outro meio
disponível, em atendimento ao princípio da proibição de ex-
cesso; e, se o fato investigado constituir infração penal puni-
da com pena de reclusão5. Ainda: as correspondências físicas
ou eletrônicas são invioláveis, salvo nos casos de decretação
de estado de defesa e de sítio (arts. 136 da CF), bem como a
possibilidade de interceptar carta de presidiário, que foi reco-
5
RHC n. 67.379/RN, relator Ministro Ribeiro Dantas, Quinta Turma, julgado em
20/10/2016, DJe de 9/11/2016. Disponível em:https://www.stj.jus.br/websecs-
tj/cgi/revista/REJ.cgi/ITA?seq=1535958&tipo=0&nreg=201600186073&-
SeqCgrmaSessao=&CodOrgaoJgdr=&dt=20161109&formato=HTML&-
salvar=false Acesso em: 03/07/2022 às 11h15min.
492
nhecida pelo Supremo Tribunal Federal no HC 70.814-5/SP.

Assim, o que logo se compreende, é que a conversa
privada entre duas pessoas está protegida pela Constituição
Federal, o que garante sua inviolabilidade e privacidade.
Veja que não há exceção sob o aspecto do veícu-
lo dessa troca de correspondência. As exceções são sobre o
conteúdo em si, mas não sobre a forma de envio. Por isso, a
conclusão que se chega logo de início nesse estudo é que a
garantia constitucional ao sigilo das comunicações também
está assegurada quando se tratar de conversas privadas em
plataformas digitais, em aplicativo de troca de mensagens.
O Professor Gustavo Tepedino (2004, p. 48) 6 explica
de forma muito objetiva a abrangência das garantias insculpidas
no artigo 5º da Constituição Federal, onde se encontra, junto ao
direito à vida privada, o consequente direito a confidencialidade:
“Com efeito, a escolha da dignidade da pes-
soa humana como fundamento da Repúbli-
ca, associada ao objetivo fundamental da
erradicação da pobreza e da marginaliza-
ção, e de redução das desigualdades sociais,
juntamente com a previsão do parágrafo 2º
do artigo 5º, no sentido de não exclusão de
quaisquer direitos e garantias, mesmo que
não expressos, desde que decorrentes dos
princípios adotados pelo texto maior, confi-
guram uma verdadeira cláusula geral de tu-
tela e promoção da pessoa humana, tomada
como valor máximo pelo ordenamento”.
6
TEPEDINO, Gustavo. A tutela da personalidade no ordenamento civil-
-constitucional brasileiro. 2. ed. Rio de Janeiro: Renovar, 2004, p. 48.
493
Portanto, conclui-se que sob o olhar constitucional, que

os dados, o envio de mensagens privadas, as fotografias recebi-
das de forma privada, não podem ser publicadas ou encaminha-
das a terceiro que não esteja na cadeia de envio, por dizerem res-
peito à intimidade e à vida privada do indivíduo, salvo mediante
consentimento dos comunicadores ou autorização judicial.
III. DA CARACTERIZAÇÃO DO DANO MORAL PELA

LEGISLAÇÃO INFRACONSTITUCIONAL
O Código Civil, em seu artigo 186, definiu que: “Aque-

le que, por ação ou omissão voluntária, negligência ou im-
prudência, violar direito e causar dano a outrem, ainda que
exclusivamente moral, comete ato ilícito.”. No artigo 927, foi
determinado que está obrigado a reparar aquele que por ato ilí-
cito causou danos a outrem. Já no art. 953 do mesmo diploma,
o legislador também dispõe a obrigação de indenizar aquele
que causa danos pela prática dos crimes de injúria, difamação
ou calúnia que estão previstos no art. 140 do Código Penal.
Novamente, o legislador, em nenhum dos diplomas,
faz qualquer diferenciação em relação ao ambiente em que
estes atos ilícitos, se cometidos, deverão ser reparados. Não
há uma especificação, tampouco uma exceção.
Neste sentido, Rui Stocco (2004, p. 896)7, sinaliza
que, mesmo não havendo determinação expressa do Código
Civil brasileiro, também não há, por outro lado, a liberdade
irrestrita de ações no âmbito da internet:
STOCO. Rui. Tratado de Responsabilidade Civil. São Paulo: RT. Ga ed. 2004. p. 896.
7
494
“Cabe ponderar. contudo, que o Código Civil

não disciplinou especificadamente as relações
informáticas, a World Wide Web e a Internet
como veículo de troca de informações, pu-
blicidade e vendas, nem de modo específico
e pontual, a responsabilidade nessa área. Não
significa, contudo, que os atos ilícitos decor-
rentes da má utilização desse aparato fiquem
impunes ou que o ofendido reste prejudicado
ou irressarcido, pois o arsenal jurídico exis-
tente, contido no próprio Código Civil e no
Código de Defesa do Consumidor, soluciona
em parte. as questões daí surgidas.”.
Sob essa suposta ausência de legislação específica a

respeito da responsabilização dos danos morais provocados
através de aplicativo de mensagens e redes sociais, foi pro-
mulgada a Lei 12.965/14, mais conhecida como “Marco Civil
da Internet” que também assegura os direitos de personalida-
de: “Art. 7º O acesso à internet é essencial ao exercício da ci-
dadania, e ao usuário são assegurados os seguintes direitos:
I - Inviolabilidade da intimidade e da vida privada, sua pro-
teção e indenização pelo dano material ou moral decorrente
de sua violação;”.
Isto posto, cumpre destacar que a responsabilidade
civil pode ser subjetiva ou objetiva. A objetiva independe de
culpa e se caracteriza apenas pelo fato de o sujeito exercer
um tipo determinado de atividade. Já a subjetiva depende do
preenchimento de três requisitos: a culpa, o dano e o nexo
causal. Portanto, nesta última, para que ocorra a reparação
do dano causado à vítima, é necessário restar demonstrado
a culpa do ofensor e o nexo de causalidade entre a conduta
praticada e o dano perpetrado.
495
Ensina o Professor Sergio Cavalieri Filho (2005, p. 41)8:

“Sendo o ato ilícito, conforme já assinalado, o
conjunto de pressupostos da responsabilidade,
quais seriam esses pressupostos na responsabili-
dade subjetiva? Há primeiramente um elemento
formal, que é a violação de um dever jurídico
mediante conduta voluntária; um elemento subje-
tivo, que pode ser o dolo ou a culpa; e, ainda, um
elemento causal-material, que é o dano e a respec-
tiva relação de causalidade. Esses três elementos,
apresentados pela doutrina francesa como pressu-
postos da responsabilidade civil subjetiva, podem
ser claramente identificados no art. 186 do Códi-
go Civil, mediante simples análise do seu texto,
a saber: a) conduta culposa do agente, o que fica
patente pela expressão “aquele que, por ação ou
omissão voluntária, negligência ou imperícia”; b)
nexo causal, que vem expresso no verbo causar;
e c) dano, revelado nas expressões “violar direito
ou causar dano a outrem”. Portanto, a partir do
momento em que alguém, mediante conduta cul-
posa, viola direito de outrem e causa-lhe dano,
está-se diante de um ato ilícito, e deste ato de-
flui o inexorável dever de indenizar, consoante o
art. 927 do Código Civil.”.
Destarte, o que se verifica é que os danos morais, in-

dependentemente do meio em que são perpetrados, podem
referir-se à aflição: a) dos aspectos mais íntimos da persona-
lidade; e b) da valoração social do indivíduo no meio em que
vive e atua. A primeira lesão reporta-se à honra subjetiva, a
segunda à honra objetiva9.
8
Programa de Responsabilidade Civil, de Cavalieri Filho, 6ª edição, Edi-
tora Malheiros, 2005, fl. 41
9
BITTAR, Carlos Alberto. Reparação civil por danos morais. 4ª ed., São
496
Desta feita, compreendido o dever de reparar àquela

que sofre por ato ilícito de outrem, o que se conclui é que a
legislação infraconstitucional igualmente abarca a possibili-
dade de reparação pelo dano à honra por aquele que, em gru-
po de mensagens, ofende terceiro.
Para que haja dano aos direitos da personalidade faz-
-se necessário tão somente que o motivo traga desequilíbrio
psíquico para o lesado, não excepcionando o meio virtual das
hipóteses legais.
IV. DA OCORRÊNCIA DE DANO MORAL POR PU-

BLICAÇÃO DE TROCA DE MENSAGENS PRIVADAS
EM APLICATIVOS
O Professor Mauro Schiavi (1996 apud SCHIAVI,

2011, p. 64)10, ao conceituar o dano moral, cita Caio Mario da
Silva Pereira, para definir como:
“ofensa a direitos de natureza extrapatri-
monial – ofensas aos direitos integran-
tes da personalidade do indivíduo, como
também ofensas à honra, ao decoro, à paz
interior de cada um, às crenças intimas,
aos sentimentos afetivos de qualquer es-
pécie, à liberdade, à vida, à integridade.”.
Paulo: Saraiva, 2015, p. 45

10
Schiavi, Mauro, Ações de Reparação por danos decorrentes da relação de traba-
lho. 4ª Ed. Rev. e Atual. São Paulo, LTr, 2011. 1996 apud SCHIAVI, 2011, p. 64.
497
Conforme vimos mais acima, o Código Civil em seus

artigos 186 e 187, estabelece que aquele que por ação ou
omissão voluntária, negligência ou imprudência, violar di-
reito de outrem e causar-lhe dano, ainda que exclusivamente
moral, comete ato ilícito o que, por sua vez, enseja no dever
de indenizar aquele que se sentir prejudicado.
O direito à dignidade engloba o direito à honra, à ima-
gem, ao nome, à intimidade, à privacidade ou a qualquer ou-
tro direito da personalidade, assim como o direito à imagem
vincula-se a tudo que é forma estética, ou seja, o corpo, o
rosto, perfil da pessoa. Sendo certo, que qualquer agressão
que atinja o sentimento pessoal de dignidade que, fugindo à
normalidade, cause sofrimento, vexame e humilhação inten-
sos, alteração do equilíbrio psicológico de indivíduo, deve
ensejar em indenização.
A professora Maria Helena Diniz define a responsabi-
lidade civil (2004, p. 7)11 como: “A aplicação de medidas que
obriguem uma pessoa a reparar dano moral ou patrimonial
causados a terceiros, em razão de ato por ela mesma prati-
cado, por pessoa por quem ela responde, por alguma coisa a
ela pertencente ou de simples imposição legal”.
Sob essa lógica que a Terceira Turma do Superior Tri-
bunal de Justiça, nos autos do Recurso Especial nº 1.903.273/
PR, manteve condenação em danos morais devido à divulga-
ção de mensagens privadas trocadas em aplicativos, em redes
sociais e para a imprensa.
Para chegar a essa conclusão, a Ministra Nancy An-
drighi, relatora do caso, trouxe à baila a doutrina alemã no
tocante a conceituação da teoria das esferas:
DINIZ, Maria Helena. Curso de direito civil: responsabilidade civil. 18.
11
ed. São Paulo: Saraiva, 2004. v. 7. p. 7
498
“segundo essa teoria, a esfera da vida priva-

da é a mais ampla e refere-se a dados que
a pessoa deseja preservar do conhecimento
de terceiros; a esfera confidencial inclui que
o indivíduo leva ao conhecimento de outrem
de sua confiança, mas excluindo do público
em geral; a esfera do secreti, por fim, com-
preende os assuntos de natureza extrema-
mente reservada, que não devem chegar ao
conhecimento de outrem (FARIA, Edilsom
Pereira de. Colisão de Direitos: a honra, a in-
timidade, a vida privada e a imagem versus
a liberdade de expressão e informação. Porto
Alegre: Fabris, 2000).”
E acrescentou:
“A liberdade de informação, por sua vez, ‘diz
respeito ao direito individual de comunicar
livremente fatos e ao direito difuso de ser
deles informado’ (BARROSO, Luís Rober-
to. Colisão entre liberdade de expressão e
direitos da personalidade. Critérios de pon-
deração. Interpretação constitucionalmente
adequada do Còdigo Civil e da Lei de Im-
prensa. Revista de Direito Privado. Vol. 5, n.
18, abr.-jun./2004, p. 123). A toda evidência
o direito à liberdade de informação e de ex-
pressão não é absoluto, devendo sempre ser
alicerçado na boa-fé, sob pena de caracteri-
zar-se abusivo. Em outras palavras, a liber-
dade de informação não pode representar
uma violação à privacidade e à intimidade
do indivíduo, ‘revelando-se cabida a respon-
sabilização pelo abuso contatado quando, a
pretexto de se expressar o pensamento, in-
vadem-se os direitos da personalidade, com
lesão à dignidade de outre,’ (REsp 1729550/
SP, Quarta Turma, DJe 4/06/2021)”.
499
Nestes termos, entendeu-se que as mensagens eletrôni-

cas estão protegidas pelo sigilo em razão do conteúdo ser pri-
vado e, com base na teoria das esferas, as mensagens trocadas
em aplicativo são restritas aos interlocutores, havendo evidente
expectativa por parte destes de que as conversas não serão di-
vulgadas a terceiros ou divulgadas ao público.
Da mesma forma, entendeu a Magistrada Daniella Car-
la Russo Greco de Lemos, da Terceira Vara Cível do Foro de
Itaquera – São Paulo Capital, em ação indenizatória por danos
morais, devido a utilização de mensagens trocadas de forma
privada, sem autorização e em prejuízo à interlocutora.
Naquele processo12, a requerida foi condenada ao paga-
mento de cinco mil reais, a título de danos morais, por ter le-
vado a conhecimento de terceiro, mensagens privadas trocadas
com a autora da ação de forma privada e, em claro caráter de
confidencialidade, o que ensejou na violação à legítima expec-
tativa, bem como à privacidade e à intimidade do emissor:
“Em consequência, terceiros somente podem

ter acesso às conversas de WhatsApp me-
diante consentimento dos participantes ou
autorização judicial.
Nas hipóteses em que o conteúdo das con-

versas enviadas via WhatsApp possa, em
12
Processo nº 1003332-05.2021.8.26.0007 - Disponível em: <https://esaj.tjsp.jus.br/pasta-
digital/abrirDocumentoEdt.do?nuProcesso=1003332-05.2021.8.26.0007&cdProcesso=-
07001GGJE0000&cdForo=7&baseIndice=INDDS&nmAlias=PG5REG&tpOrigem=2&-
flOrigem=P&cdServico=190101&acessibilidade=false&ticket=7upz7TIHKDNDY8N-
vtgdTSco7DbaRQP0ciU9v3jTQY9DeBxdKdyk%2FYfy%2FDhiHd%2BmJpoGZ8ju-
xdjuQS6NMV%2BS%2BJ%2BOiCmnwD082Bhwt7VI69S2iUEcHmbHPc5dZDX-
QxN9dhSSa%2FaaSwdKVZgUo3VY5mVJXav8I0xIIxnkJKU8XBAhT1vZtkMsMoT-
CfZC2FQSIsd0raz0XiJ8ObWrkC7Di%2Bz4EL81nfhQe%2FCT7MZM4YD4xJAiwS-
G8E4VI2hXBpD4DGoZBRcr3B2VjNyFT8loyDcfiVzfeXyiKKtZpGxBKXxfzJERHE-
JmA1xS20jeik%2BeQqVMdmmKYEuKft%2FIWw9na7KcuBJBQCsoY8EDWB2D-
BlwVdweJS2PGoEatUyw1PBWoucWlDGrULnaeW59droE5IIf5DKt2AZGk6KpOslQ-
jpYr0Od5nc5e6eZRptbN8T1pUX3dO> Acessado em 01/05/2022.
500
tese, interessar a terceiros, haverá um confli-

to entre a privacidade e a liberdade de infor-
mação, revelando-se necessária a realização
de um juízo de ponderação.
Nesse aspecto, há que se considerar que as

mensagens eletrônicas estão protegidas pelo
sigilo em razão de o seu conteúdo ser priva-
do; isto é, restrito aos interlocutores.
Ademais, é certo que ao enviar mensagem a

determinado ou a determinados destinatários
via WhatsApp, o emissor tem a expectativa
deque ela não será lida por terceiros, quanto
menos divulgada ao público, seja por meio
de rede social ou da mídia.”
Portanto, levar a conhecimento público conversa pri-

vadas, estará configurado o ato ilícito e, por sua vez, a ofensa
à privacidade e à intimidade do emissor.
Fato é que os aplicativos, as redes sociais e suas men-
sagens foram inseridos no cotidiano de grande parcela da
população, onde muitas vezes não há uma reflexão sobre os
efeitos e as consequências jurídicas que as ações no mundo
cibernético podem causar.
Cada vez mais tem sido comum a tela de uma con-
versa privada ser divulgada em grupos de conversas ou em
mídias sociais em clara exposição íntima dos emissores.
Conforme consta do sítio eletrônico do whatsapp, um grupo
pode conter 256 pessoas: “Com as conversas em grupo, pode
partilhar mensagens, fotos e vídeos com até 256 pessoas em
simultâneo. Também pode atribuir um nome ao grupo, desa-
tivar ou personalizar notificações e muito mais.”.
501
Ou seja, um emissor pode ter sua intimidade violen-

tamente exposta para mais de duas centenas de pessoas em
apenas “um click”. Não há como se desconsiderar esse dado
relevante de apenas uma das plataformas existentes de troca de
mensagens. Não há ausência de legislação expressa e especí-
fica que possa manter impune aquele que ultrapassa os limites
legais e constitucionais e atinge a esfera individual de outrem.
Assim, o dano moral por quebra de confidencialidade
e sigilo das comunicações é passível de reparo, seja pelo que
dispõe a Constituição Federal, seja por todo o arcabouço infra-
constitucional no que tange a responsabilidade civil do ofensor.
O Código Civil em seu artigo 21 definiu que: “A vida
privada da pessoa natural é inviolável, e o juiz, a requeri-
mento do interessado, adotará as providências necessárias
para impedir ou fazer cessar ato contrário a esta norma”.
Neste espeque, o que se observa é que o Poder Judiciário tem
autorização para condenar a prática criminosa em razão das
ofensas à dignidade e à intimidade do emissor.
E no tocante a liberdade de expressão, utilizada por
alguns ofensores como linha de defesa para publicação de
mensagens privadas, cabe ressaltar, acordão proferido pelo
Desembargador Pedro de Alcantara, da 8ª Câmara de Direi-
to Privado de do Tribunal de Justiça do Estado de São Pau-
lo13, que destacou os limites da liberdade de manifestação
de pensamento: “Liberdade de manifestação de pensamento
não se confunde com ataque gratuito à honra alheia. É jus-
tamente por esse motivo que a Constituição Federal nega
o anonimato, justamente para que o lesado possa pleitear
reparação do ofensor caso se sinta prejudicado.”.
TJ/SP, 8ª Câmara de Direito Privado, Apelação Cível n.º 0002885-

13
77.2015.8.26.0481. Rel. Des. PEDRO DE ALCANTARA DA SILVA

LEME FILHO. J. 17-02-2016
502
V. CONCLUSÃO
Nos últimos anos fomos inseridos em uma variedade

muito grande de redes sociais com milhões de pessoas, com
aplicativos de entretenimento dos mais diversificados estilos e
gostos, compartilhamos nossas vidas e a troca de mensagens ins-
tantâneas de forma privada (A para B) ou de forma pública: seja
em grupos, seja em uma fotografia de determinado usuário.
Apesar do ambiente virtual ser aparentemente propício
para condutas criminosas, sua utilização deve estar em confor-
midade com as políticas e diretrizes dos aplicativos, evitando
o constrangimento da esfera íntima de outra pessoa ou usuário
quando, especialmente (mas não afastando o compartilhamen-
to de conteúdo indevido de forma individual), as partes estive-
rem dividindo o mesmo espaço virtual/grupos de aplicativos.
Há de se utilizar o bom senso de modo a não se ultrapassar os
limites do direito de informar e de criticar, consagrados dos art.
5º, IV, IX e XIV, e 220 da Constituição Federal.
Vivemos tempos difíceis, e tempos em que não exis-
tem palavras “soltas ao vento”, mas palavras que estão há um
segundo do compartilhamento para dezenas de outros usuá-
rios pelo mundo e há um segundo do print screen.
No entanto, desde a Constituição Imperial de 1824, per-
cebe-se que o direito brasileiro, sempre deu guarida ao sigilo da
correspondência, sempre sendo tratado, em sede constitucional
e infraconstitucional, como direito fundamental limitado.
O sigilo da correspondência visa resguardar o direito
à intimidade e à privacidade, consagrados nos planos consti-
tucional (art. 5º, X, da CF/88) e infraconstitucional (arts. 20
e 21 do CC/02).
503
Em que pese a legislação brasileira não conseguir pre-

ver como as comunicações poderiam mudar, o arcabouço le-
gal e jurisprudencial é totalmente aplicável as trocas de men-
sagens por meio de aplicativos de mensagem. Isso porque,
conforme aqui discorrido, o que o direito brasileiro prevê é
resguardar a intimidade e a vida privada. Se as comunicações
privadas se utilizam de veículos distintos e não previstos pelo
legislador à época, pouco importa, pois, o direito maior é em
relação a segurança do sigilo das comunicações.
Assim, o compartilhamento e divulgação de mensagens
privadas, sem autorização do emissor ou judicial, configura ato
ilícito passível de reparação civil que deve ser fixada em valor
razoável e proporcional para compensar os transtornos causados.
VI. REFERÊNCIAS
BITTAR, Carlos Alberto. Os direitos da personalidade. 6ª.

Ed., atualizado por Eduardo Carlos Bianca Bittar. Rio de Ja-
neiro: Forense Universitária, 2003, p. 2.
BRAGA, Diogo de Melo; BRAGA, Marcus de Melo; ROVER,
Aires José. Responsabilidade Civil das Redes Sociais no Direi-
to Brasileiro. Disponível em: <http://www.egov.ufsc.br/portal/
sites/default/files/aires_braga.pdf>. Acesso em: 01/07/2022.
BRASIL. Código Civil Brasileiro. Disponível em: <http://www.planal-
to.gov.br/ccivil_03/leis/2002/l10406.htm> Acesso em: 01/07/2022.
BRASIL. Código Penal – < www.planalto.gov.br/ccvil_03/
decreto-lei/del2848compilado.htm > acesso 01/07/2022
BRASIL. Constituição Federal - < www.planalto.gov.br/cci-
vil_03/constituicao > acesso 02/05/2022
504
BRASIL. Site WHATSAPP. Disponível em: < https://www.what-

sapp.com/features/?lang=pt_pt#:~:text=Use%20os%20grupos%20
para%20se%20manter%20em%20contacto&text=Com%20as%20
conversas%20em%20grupo,personalizar%20notifica%C3%A7%-
C3%B5es%20e%20muito%20mais.> Acesso em 01/05/2022.
BRASIL. Tribunal de Justiça do Distrito Federal. Recurso
Inominado. Acórdão 1324732, 07570635820198070016, Re-
lator: AISTON HENRIQUE DE SOUSA, Primeira Turma
Recursal, data de julgamento: 5/3/2021, publicado no DJE:
12/4/2021. Pág.: Sem Página Cadastrada.
BRASIL. Tribunal de Justiça do Distrito Federal. Recurso
Inominado. Acórdão 1235330, 07106302620198070006,
Relator: GABRIELA JARDON GUIMARAES DE FARIA,
Segunda Turma Recursal, data de julgamento: 11/3/2020, pu-
blicado no DJE: 17/3/2020. Pág.: Sem Página Cadastrada.
BRASIL. TRIBUNAL DE JUSTIÇA DE SÃO PAULO.
Apelação Cível. 1016090-36.2018.8.26.0002; Relator (a):
Gilberto Leme; Órgão Julgador: 35ª Câmara de Direito Pri-
vado; Foro Regional XV - Butantã - 1ª Vara Cível; Data do
Julgamento: 24/01/2020; Data de Registro: 24/01/2020
BRASIL. TRIBUNAL DE JUSTIÇA DO MATO GROSSO. RE-
CURSO INOMINADO Nº 80102417720168110025 MT, Rela-
tor VALMIR ALAERCIO DOS SANTOS, Data de Julgamento
15/11/20\17, Turma Recursal Única, Data de Publicação: 17/11/2017.
BRASIL. TRIBUNAL REGIONAL DO RIO GRANDE DO SUL.
Recurso Cível, Nº 71009205717, Quarta Turma Recursal Cível, Turmas
Recursais, Relator: Jerson Moacir Gubert, Julgado em: 20-10-2020)
BRASIL. TRIBUNAL DE JUSTIÇA DE SÃO PAULO. 8ª
Câmara de Direito Privado, Apelação Cível n.º 0002885-
77.2015.8.26.0481. Rel. Des. PEDRO DE ALCANTARA
DA SILVA LEME FILHO. J. 17-02-2016
505
BRASIL. TRIBUNAL DE JUSTIÇA DE SÃO PAULO. Ape-

lação Cível 1016090-36.2018.8.26.0002; Relator (a): Gilber-
to Leme; Órgão Julgador: 35ª Câmara de Direito Privado;
Foro Regional XV - Butantã - 1ª Vara Cível; Data do Julga-
mento: 24/01/2020; Data de Registro: 24/01/2020.
BRASIL. TRIBUNAL DE JUSTIÇA DE SÃO PAULO. Senten-
ça. Processo nº 1003332-05.2021.8.26.0007. Relação: 0046/2022
Data da Publicação: 27/01/2022 Número do Diário: 3434
BRASIL. SUPERIOR TRIBUNAL DE JUSTIÇA - STJ –
RECURSO ESPECIAL 1.650.725/MG (2017/00189000-9)
– Relatora: Min. Nancy Andrighi, julgado em 18/05/2017.
Cavalieri Filho, Sergio. Programa de Responsabilidade Civil,
de Cavalieri Filho, 6ª edição, Editora Malheiros, 2005, fl. 41
BRASIL. SUPERIOR TRIBUNAL DE JUSTIÇA – STJ -
RHC n. 67.379/RN, relator Ministro Ribeiro Dantas, Quinta
Turma, julgado em 20/10/2016, DJe de 9/11/2016.
DINIZ, Maria Helena. Curso de direito civil: responsabilida-
de civil. 18. ed. São Paulo: Saraiva, 2004. v. 7. P. 7.
FERRAZ, Tércio Sampaio. Sigilo de dados: o direito à privaci-
dade e os limites à função fiscalizadora do Estado, Cadernos de
Direito Constitucional e Ciência Política, São Paulo, Revista
dos Tribunais, n. 1, p. 77-82, 1992; e Revista da Faculdade de
Direito da Universidade de São Paulo, v. 88, p. 447, 1993.
MARQUES, Andréa Neves Gonzaga Marques Disponível
em: <http://direito-legal.jusbrasil.com.br/noticias/2166798/
direito-a-honra>. Acesso em: 01/05/2022.
MEIRA, Laís Moreschi; SOARES, Matheus Fernandes de
Souza; PIRES, Panmella Rodrigues. Direito à privacidade e
as relações na internet. Disponível em: http://www.jurisway.
org.br/v2/dhall.asp?id_dh=7319. Acesso em: 01/05/2022.
506
MENDES, Gilmar; BRANCO, Gonet Gustavo Paulo. Curso

de Direito Constitucional. São Paulo: Saraiva, 2014.
NETO, Antonio Rulli; AZEVEDO, Renato A. Responsabi-
lidade civil de provedores da internet: novos paradigmas.
Disponível em: <http://por-leitores.jusbrasil.com.br/noti-
cias/3161392/responsabilidadecivilde-provedores-da-inter-
net-novos-paradigmas> Acesso em: 01/05/2022.
Schiavi, Mauro, Ações de Reparação por danos decorrentes
da relação de trabalho. 4ª Ed. Rev. e Atual. São Paulo, LTr,
2011. 1996 apud SCHIAVI, 2011, p. 64.
STOCO. Rui. Tratado de Responsabilidade Civil. São Paulo:
RT. Ga ed. 2004. p. 896.
TEPEDINO, Gustavo. A tutela da personalidade no ordena-
mento civil-constitucional brasileiro. 2. ed. Rio de Janeiro:
Renovar, 2004, p. 48.
507
O LEGÍTIMO INTERESSE NA LGPD E A

VISÃO DA ANPD
Matheus Passos Silva1
I. INTRODUÇÃO
A Lei nº 13.709, de 14 de agosto de 20182, 3 – a Lei

Geral de Proteção de Dados Pessoais (doravante “LGPD”) –
é um marco no ordenamento jurídico brasileiro por ser a pri-
1
Global Data Protection Risk Manager na Bolt (Estônia). Data Protec-
tion Officer as a service na L’Oréal Portugal. Sócio-fundador da DataUX.
Doutorando em Direito Constitucional pela Faculdade de Direito da Uni-
versidade de Lisboa. Doutorando em Direito e Tecnologia pela Faculdade
de Direito da Universidade Nova de Lisboa. Pós-graduado em Direito da
Proteção de Dados pelo Centro de Investigação de Direito Privado da
Faculdade de Direito da Universidade de Lisboa. Pós-graduado em Ética,
Direito e Pensamento Político pela Faculdade de Direito e pela Faculdade
de Letras da Universidade de Lisboa. Pós-graduado em Direito Eleitoral
pelo Instituto Brasiliense de Direito Público (IDP/Brasília). Mestre e ba-
charel em Ciência Política pela Universidade de Brasília. Bacharel em
Ciência da Computação pelo UniCEUB (Brasília). Possui as certificações
CIPP/E, CIPM, CIPT e CDPR/BR da International Association of Privacy
Professionals, sendo reconhecido como Fellow of Information Privacy
pela mesma Associação. Possui as certificações EXIN Certified Data Pro-
tection Officer (ISMS, PDPF, PDPP), EXIN Certified Information Securi-
ty Officer (ISMS, PDPF, ISMP) e EXIN Blockchain Foundation.
2
Por motivos de clareza nas notas de rodapé, informa-se ao leitor que as le-
gislações serão indicadas apenas na sua primeira menção. As menções subse-
quentes serão feitas sempre a partir da mesma fonte indicada na primeira vez.
3
BRASIL. Presidência da República. Secretaria-Geral. Subchefia para Assun-
tos Jurídicos. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção
de Dados Pessoais (LGPD). Disponível em: <https://www.planalto.gov.br/cci-
vil_03/_ato2011-2014/2014/lei/l12965.htm>. Acesso em 29 jun. 2022.
508
meira vez em que uma legislação trata de maneira específica

e abrangente a respeito do tema proteção de dados pessoais.
Menções genéricas e espaçadas sobre o tema já existiam an-
teriormente, como a garantia constitucional da proteção da
intimidade e da vida privada e mesmo a exigência de consen-
timento na Lei nº 12.965, de 23 de abril de 20144 (doravante
“Marco Civil da Internet” ou “MCI”).
A aplicação prática da LGPD se fundamenta em três
pontos centrais: princípios de proteção de dados, medidas de se-
gurança técnicas e administrativas, e bases legais5. Em relação
a estas últimas, a LGPD traz 11 possibilidades de fundamenta-
ção legal6, 7 para o tratamento de dados pessoais, sendo que uma
delas corresponde aos interesses legítimos do controlador ou de
terceiro, conforme redação do inciso IX do art. 7º da Lei.
O legítimo interesse surge no ordenamento jurídico
brasileiro cercado de dúvidas e mesmo de polêmicas. As dú-
vidas advêm do fato de que aparentemente a LGPD é sucinta
ao falar sobre esta base legal, mencionando-a em apenas duas
oportunidades ao longo da Lei. Em consequência, muitos
4
BRASIL. Presidência da República. Secretaria-Geral. Subchefia para
Assuntos Jurídicos. Lei nº 12.965, de 23 de abril de 2014. Estabelece
princípios, garantias, direitos e deveres para o uso da Internet no Bra-
sil. Disponível em: <https://www.planalto.gov.br/ccivil_03/_ato2011-
2014/2014/lei/l12965.htm>. Acesso em 29 jun. 2022.
5
Apesar da expressão bases legais não aparecer no texto da LGPD, opta-se
por utilizá-la por seu uso ser corrente e comum, estando presente inclusive
em vários Guias Orientativos da Autoridade Nacional de Proteção de Dados.
6
São referidas aqui as 10 bases legais presentes no art. 7º da LGPD e a
base legal presente na alínea g) do inciso II do art. 11 da mesma Lei.
7
Há quem defenda que o art. 23 da LGPD também deva ser considerado como
uma base legal para o tratamento de dados pessoais. A este respeito ver BAIÃO,
Renata Barros Souto Maior; TEIVE, Marcello Muller. O artigo 23 da LGPD
como base legal autônoma para o tratamento de dados pessoais pelo poder ju-
diciário. In: PALHARES, Felipe (coord.). Temas atuais de proteção de dados.
Livro eletrônico. 2. ed. São Paulo: Thomson Reuters Brasil, 2022.
509
profissionais de proteção de dados acabam por ter dúvidas

em relação a esta base legal, especialmente considerando-se
a mudança de mentalidade decorrente do princípio da res-
ponsabilização e da prestação de contas presente na LGPD8.
É nesta perspectiva, portanto, que a base legal legí-
timo interesse será analisada neste artigo9. Em um primeiro
momento, é importante indicar o que está presente na LGPD
a respeito da própria interpretação desta base legal. Em se-
guida será feita uma breve apresentação das indicações já
realizadas pela Autoridade Nacional de Proteção de Dados
(doravante “ANPD”) sobre o legítimo interesse, ainda que
no momento de escrita deste artigo10 não exista nenhum Guia
Orientativo da ANPD sobre o tema. Por fim, é importante
fazer alguns apontamentos referentes à utilização do legítimo
interesse como base legal à luz da recente Emenda Consti-
tucional nº 115, de 10 de fevereiro de 202211, que incluiu a
proteção de dados pessoais entre os direitos e garantias fun-
damentais e fixou a competência privativa da União para le-
gislar sobre proteção e tratamento de dados pessoais.
8
Agora compete aos agentes de tratamento tomarem suas próprias deci-
sões – inclusive aquelas referentes ao nível de risco – e assumirem estas
decisões, em vez de buscarem por eventuais direcionamentos e/ou autori-
zações prévias junto a órgãos reguladores.
9
O enfoque será analisar o legítimo interesse do controlador, ainda que a
LGPD indique a possibilidade de utilizar a base legal legítimo interesse
para embasar atividades de tratamento que concretizem o interesse de
terceiros. Este recorte é feito dada a extensão e os limites do artigo.
10
A redação do artigo foi finalizada no dia 29 de junho de 2022.
11
BRASIL. Imprensa Nacional. Diário Oficial da União. Emenda Cons-
titucional nº 115. Altera a Constituição Federal para incluir a proteção de
dados pessoais entre os direitos e garantias fundamentais e para fixar a
competência privativa da União para legislar sobre proteção e tratamen-
to de dados pessoais. Disponível em: <https://www.in.gov.br/web/dou/-/
emenda-constitucional-n-115-379516387>. Acesso em 29 jun. 2022.
510
II. O LEGÍTIMO INTERESSE NA LGPD
A LGPD já traz em seu texto os elementos centrais para

a correta interpretação e aplicação prática do legítimo interes-
se, apesar de sua descrição aparentemente sucinta no texto da
lei. O inciso IX do art. 7º indica que o legítimo interesse pode
ser utilizado “quando necessário para atender aos interesses
legítimos do controlador ou de terceiro, exceto no caso de
prevalecerem direitos e liberdades fundamentais do titular que
exijam a proteção dos dados pessoais”12. Por sua vez, o art. 10
trata mais especificamente do tema, definindo em síntese que
o legítimo interesse: a) A base legal só pode ser utilizada para
finalidades legítimas; b) As situações de tratamento de dados
devem ser concretas, não abstratas; c) Devem ser respeitadas
as legítimas expectativas dos titulares, bem como seus direi-
tos e liberdades fundamentais; e d) A transparência para
com os titulares é essencial quando dados forem tratados com
base no legítimo interesse do controlador.
Verifica-se, portanto, a existência de pelo menos seis
características já explicitamente presentes na LGPD para que
o legítimo interesse possa, como base legal, fundamentar
qualquer atividade de tratamento de dados pessoais por parte
de um controlador. A análise conjunta destas características,
por sua vez inseridas no âmbito da hermenêutica da própria
LGPD, não permite a utilização desta base legal para qualquer
situação de tratamento de dados pessoais13. Pelo contrário: o
que se verifica é justamente a necessidade de uma atuação
limitada por parte do controlador ao utilizar esta base legal
porque ela está alicerçada no princípio da responsabilização
e prestação de contas – isto é, o controlador precisa ser capaz
Todos os destaques em negrito no texto da lei foram feitos pelo autor deste artigo.
12
13
LEITE, Luiza. Tratamento de dados pessoais. In: FEIGELSON, Bru-
no; BECKER, Daniel (coords.). Comentários à lei geral de proteção de
dados. Livro eletrônico. São Paulo: Thomson Reuters Brasil, 2020.
511
de comprovar que utiliza esta base legal de maneira a prote-

ger efetivamente os direitos e liberdades dos titulares.
O primeiro passo lógico para a utilização do legíti-
mo interesse como base legal diz respeito à identificação da
finalidade – e, principalmente, do grau de abstração desta fi-
nalidade. Por outras palavras, o que se busca saber é se o
controlador está diante de uma situação concreta ou de mera
perspectiva de tratamento futuro de dados pessoais. Em sín-
tese, o controlador deverá responder à seguinte pergunta: “O
tratamento de dados pessoais que pretendo fazer é concre-
to, real e atual, ou é algo que pode ser que eu venha a fazer
no futuro?” Se a resposta corresponder à primeira parte da
pergunta o legítimo interesse poderá ser utilizado como base
legal após a realização da avaliação do legítimo interesse;
caso contrário a resposta será negativa e o controlador deverá
encontrar outra base legal. Isto é assim porque o controlador
não pode simplesmente tratar dados porque “acha” que um
dia irá utilizá-los para alguma finalidade ainda não definida
– agir com base na suposição de um possível futuro é clara
infração ao princípio da finalidade.
O segundo passo lógico que sustenta a utilização do
legítimo interesse é a realização de uma avaliação do legíti-
mo interesse ou um teste de balanceamento – que neste arti-
go será chamada pela sua siga em inglês, “LIA” (legitimate
interests assessment) – antes da utilização desta base legal.
E a necessidade de se realizar a LIA vem do próprio texto da
LGPD, não de uma recomendação, orientação ou boa prática
internacional. Isto porque o inciso IX do art. 7º da Lei afirma
que é possível utilizar esta base legal exceto se prevalecerem
os direitos e liberdades dos titulares. Mesmo para o leitor que
não tem formação jurídica, parece ser clara a relação de causa
e consequência da frase: é possível fazer “A” a não ser que
“B” seja mais importante e/ou prevaleça sobre “A”. Desta
forma, ainda que nem a LGPD nem a ANPD digam expli-
citamente que é necessária a realização de uma LIA14, este
512
documento se torna obrigatório para que o controlador possa

saber se seus interesses legítimos prevalecem ou não sobre os
direitos e liberdades fundamentais dos titulares.
Por sua vez, qual será o conteúdo da LIA? Novamente
a LGPD já traz em si as respostas. Em primeiro lugar, é ne-
cessário avaliar se a finalidade perseguida pelo controlador
é ou não legítima. Em segundo lugar, deve-se verificar se o
tratamento proposto é necessário para atingir tal finalidade
legítima. Por fim, de posse destas informações o controlador
irá verificar se o que pretende fazer é ou não proporcional às
legítimas expectativas dos titulares e à proteção efetiva dos
seus direitos e liberdades fundamentais. Apenas após termi-
nada a LIA, e apenas caso seu resultado seja favorável ao
controlador, é que este poderá utilizar esta base legal como
hipótese legitimadora de sua atividade de tratamento.
Muitos profissionais de proteção de dados que che-
gam a este ponto podem se perguntar: como interpretar a legi-
timidade, a necessidade e a proporcionalidade de um projeto
com o objetivo de verificar se o legítimo interesse é uma base
legal válida para determinada atividade de tratamento?
A “tentação” será buscar em padrões internacionais,
especialmente aqueles oriundos do Comitê Europeu de Pro-
teção de Dados (doravante “EDPB”, da sigla em inglês para
European Data Protection Board15) dada a óbvia similarida-
de entre a LGPD e o Regulamento Geral sobre a Proteção de
Dados (doravante “RGPD”). Uma das fontes mais utilizadas
é o Parecer 06/2014 sobre o conceito de interesses legítimos
14
Ainda que a ANPD já tenha se manifestado favoravelmente à realização da LIA, in-
clusive a respeito do seu conteúdo, como será mostrado na próxima seção deste artigo.
15
A expressão Comitê Europeu de Proteção de Dados e a sigla EDPB se-
rão utilizadas tanto para indicar este próprio órgão quanto também o seu
antecessor, o Grupo de Trabalho do Artigo 29º para a Proteção de Dados
não apenas porque suas funções são as mesmas, mas também porque seus
membros eram os mesmos quando do surgimento do EDPB em 2018.
513
do responsável pelo tratamento dos dados na aceção do arti-

go 7.º da Diretiva 95/46/CE, adotado em 9 de abril de 201416
e que traz inúmeras considerações a respeito do legítimo in-
teresse sob a perspectiva europeia17. No entanto, esta busca
não é necessária porque a própria ANPD já emitiu diversas
opiniões sobre a base legal legítimo interesse em vários de
seus Guias Orientativos, como indicado a seguir.
III. O LEGÍTIMO INTERESSE PELA ANPD
A ANPD já indicou explicitamente que “a legislação

brasileira de proteção de dados, a LGPD, é fortemente inspira-
da no RGPD, e compartilha com esta regulamentação diversos
elementos jurídicos” e que, neste contexto, “as bases legais de
necessidade contratual e legítimo interesse [...] possuem a mes-
ma natureza principiológica para aplicação”18 no Brasil quando
16
Por mais que este Parecer não tenha sido oficialmente endossado pelo
EDPB, ele continua a ser fonte inestimável para a interpretação do legítimo
interesse no contexto europeu. EUROPA. Grupo de Trabalho do Artigo 29.º
para a Proteção de Dados. Parecer 06/2014 sobre o conceito de interesses
legítimos do responsável pelo tratamento dos dados na aceção do artigo 7.º
da Diretiva 95/46/CE. Adotado em 9 de abril de 2014. WP 217. Disponível
em https://ec.europa.eu/justice/article-29/documentation/opinion-recom-
mendation/files/2014/wp217_pt.pdf. Acesso em 29 jun. 2022.
17
Muitos profissionais de proteção de dados optam por seguir as orientações
do Information Commissioner’s Office, a Autoridade de Proteção de Dados do
Reino Unido. Porém, sugere-se cautela ao utilizar estas orientações, já que o
Reino Unido tem feito alterações em sua legislação de proteção de dados que
o afastam do modelo europeu – que claramente serviu e serve de inspiração ao
Brasil. Sobre estas alterações ver IAPP. International Association of Privacy
Professionals. UK Data Protection Reform. Post-consultation plans developed
by the UK government. Disponível em: <https://iapp.org/media/pdf/resource_
center/uk_data_protection_reform_chart.pdf>. Acesso em 29 jun. 2022.
514
comparadas com o RGPD. O posicionamento da ANPD refor-

ça a defesa daqueles que buscam em padrões internacionais19
a explicação de como e por que realizar a LIA no contexto
brasileiro, como indicado em parágrafos anteriores.
No entanto, como também já indicado, o profissional
de proteção de dados brasileiro não precisa olhar apenas para
estes padrões internacionais em busca de boas práticas a serem
implementadas no Brasil. A própria ANPD já indicou, em seus
Guias Orientativos, a sua visão a respeito da base legal legíti-
mo interesse, de quando realizar a LIA, como realizá-la, bem
como uma interpretação sistemática referente a esta base legal.
O primeiro ponto a ser destacado refere-se à consta-
tação da necessidade de realização da LIA. Ainda que a LIA
se apresente como elemento obrigatório para que o contro-
lador possa definir se a base legal legítimo interesse é viável
ou não20, a ANPD reforça este entendimento no parágrafo 22
do seu Guia Orientativo Tratamento de Dados Pessoais pelo
Poder Público ao indicar que a utilização desta base legal
“deve ser precedida de uma avaliação em que seja demons-
trada a proporcionalidade entre, de um lado, os interesses do
18
BRASIL. Autoridade Nacional de Proteção de Dados. Nota Técnica nº
02/2021/CGTP/ANPD. Atualização da Política de Privacidade do WhatsA-
pp. 22 de março de 2021. Parágrafos 73 e 77. Disponível em: <https://www.
gov.br/anpd/pt-br/assuntos/noticias/inclusao-de-arquivos-para-link-nas-
-noticias/NotaTecnicaANPDWhatsapp_ocr.pdf>. Acesso em 29 jun. 2022.
19
Diferentemente do que alguns profissionais de proteção de dados pensam,
o aproveitamento de padrões e boas práticas internacionais não correspon-
de a uma “importação cega do que vem da Europa”. Trata-se apenas de
não ter de se “reinventar a roda”, observando a experiência internacional e
aprendendo com seus erros e acertos. Além disso, do ponto de vista meto-
dológico observar o ambiente internacional é essencial, tendo-se por base a
própria disciplina do Direito Comparado. Ver OLIVEIRA, Ricardo; COTS,
Márcio (coords.). O legítimo interesse e a LGPDP. Livro eletrônico. 2. ed.,
rev. atual. e ampl. São Paulo: Thomson Reuters Brasil, 2021, p. RB-2.2.
20
Ressalta-se que a obrigatoriedade não é expressa na LGPD, mas sim decor-
rente de sua interpretação conforme mostrado na seção anterior deste artigo.
515
controlador ou de terceiro para a utilização do dado pessoal e,

de outro, os direitos e as legítimas expectativas do titular”.
A ANPD vai além e reforça que “conforme o art. 18, § 2º, o
titular tem o direito de se opor ao tratamento realizado
com base no legítimo interesse, em caso de descumprimen-
to dos requisitos previstos na LGPD”21. A LIA, obviamente,
deve ser feita “em momento anterior à realização de qualquer
operação”22 baseada no legítimo interesse do controlador.
Ao falar sobre a análise da finalidade, da necessidade
e da proporcionalidade dos interesses legítimos do controlador
em relação às legítimas expectativas dos titulares e aos seus
direitos e liberdades, a ANPD inicialmente explicita o que sig-
nifica a expressão finalidade legítima23. Esta expressão está di-
retamente relacionada ao princípio da finalidade presente no
inciso I do art. 6º da LGPD24 e que é assim explicitado pela
21
BRASIL. Autoridade Nacional de Proteção de Dados. Guia Orientati-
vo Tratamento de Dados Pessoais pelo Poder Público. Versão 1.0, Jan.
2022. Recurso eletrônico. Disponível em: <https://www.gov.br/anpd/
pt-br/documentos-e-publicacoes/guia-poder-publico-anpd-versao-final.
pdf>. Acesso em 29 jun. 2022. Grifo nosso.
22
BRASIL. Autoridade Nacional de Proteção de Dados e Tribunal Supe-
rior Eleitoral. Guia Orientativo Aplicação da Lei Geral de Proteção de
Dados Pessoais (LGPD) por agentes de tratamento no contexto eleitoral.
Recurso eletrônico. Brasília: Tribunal Superior Eleitoral, 2021, parágrafo
60. Disponível em: <https://www.gov.br/anpd/pt-br/documentos-e-publi-
cacoes/guia_lgpd_final.pdf>. Acesso em 29 jun. 2022.
23
Conforme dito anteriormente, não há ainda nenhum Guia Orientativo da
ANPD específico a respeito de bases legais em geral ou sobre o interesse
legítimo em particular. Além disso, as indicações apontadas a seguir são
feitas no contexto do tratamento de dados pessoais pelo Poder Público, o
que pode ter interpretação diferenciada ao ser aplicado ao setor privado.
No entanto, considera-se que estas indicações da ANPD sejam extrema-
mente válidas porque indicam o direcionamento que a ANPD provavel-
mente dará a respeito do tema em um Guia Orientativo específico, e o
profissional de proteção de dados precisa ter conhecimento destes dire-
cionamentos para estar o mais bem preparado possível.
516
ANPD: por legítima deve-se entender a finalidade que seja “lí-

cita e compatível com o ordenamento jurídico, além de ampa-
rada em uma base legal, que autorize o tratamento”; a finali-
dade deve ser específica “de maneira que a partir da finalidade
seja possível delimitar o escopo do tratamento e estabelecer
as garantias necessárias para a proteção dos dados pessoais”;
por explícita entende-se a finalidade que seja “expressa de uma
maneira clara e precisa”; e por fim a finalidade deve ser infor-
mada, “isto é, disponibilizada em linguagem simples e de fácil
compreensão e acesso ao titular dos dados”25, 26.
Caso a atividade de tratamento passe por este teste
de finalidade, poderá o controlador avançar para o segundo
teste, qual seja, o da necessidade. Novamente aqui refira-se
o leitor diretamente ao inciso III do art. 6º da LGPD, que
indica que o princípio da necessidade será cumprido quando
houver “limitação do tratamento ao mínimo necessário para
a realização de suas finalidades, com abrangência dos dados
24
O princípio da finalidade exige a “realização do tratamento para propósitos
legítimos, específicos, explícitos e informados ao titular, sem possibilidade de
tratamento posterior de forma incompatível com essas finalidades”.
25
2022, parágrafo 46. Recurso eletrônico. Disponível em: <https://www.
gov.br/anpd/pt-br/documentos-e-publicacoes/guia-poder-publico-anpd-
-versao-final.pdf>. Acesso em 29 jun. 2022.
26
É importante destacar que a ANPD também traz a debate a possibilida-
de de o controlador tratar os dados para finalidades secundárias. Ainda
que não exista nenhuma previsão explícita na LGPD a respeito do tema,
a interpretação da ANPD segue a visão europeia sobre o tema, já que
apresenta a necessidade de realização de um teste de compatibilidade
para verificar se os dados coletados para a atividade primária podem ser
utilizados para finalidade(s) secundária(s) seguindo o mesmo padrão pre-
visto o nº 4 do artigo 6º do RGPD. Para detalhes ver o Guia Orientativo
Tratamento de Dados Pessoais pelo Poder Público, parágrafos 47-51, e o
Guia Orientativo Aplicação da Lei Geral de Proteção de Dados Pessoais
(LGPD) por agentes de tratamento no contexto eleitoral, parágrafos 66-7.
517
pertinentes, proporcionais e não excessivos em relação às fi-

nalidades do tratamento de dados”. Basicamente o que está
em jogo é o chamado princípio da minimização de dados, de
maneira que a coleta se limite à menor quantidade possível de
dados para o alcance da finalidade proposta.
No entanto, é extremamente relevante chamar a aten-
ção para uma frase “simples” da ANPD, mas que faz total
diferença no momento de realização do teste de necessidade
no âmbito de uma LIA. A autoridade brasileira indica que a
aplicação prática do princípio da necessidade “desaconselha
o próprio tratamento de dados pessoais quando a finalidade
que se almeja pode ser atingida por outros meios menos
gravosos ao titular de dados”27. Esta simples frase é extre-
mamente relevante porque faz com que o controlador se veja
obrigado a analisar efetivamente se há ou não outras manei-
ras menos intrusivas em termos de dados pessoais pelas quais
possa atingir a finalidade pretendida – e se existirem, estas
deverão ser escolhidas em detrimento da proposta inicial.
Não basta, portanto, que o controlador argumente que
coleta “apenas os dados necessários”: ele precisa também justifi-
car o porquê de estar utilizado aquela forma específica que esco-
lheu para concretizar a sua finalidade. O entendimento é relevan-
te porque a aplicação do princípio da necessidade no tratamento
de dados pessoais não se limita à fase da coleta, mas se estende
pelas fases do tratamento propriamente dito, do armazenamento
e, ao final, da anonimização ou exclusão dos dados. Não basta,
portanto, que o controlador diga que coleta poucos dados e que,
por isto, “está tudo bem”, se houver outra forma mais protetiva
dos direitos e liberdades dos titulares para concretizar a finali-
27
2022, parágrafo 52, grifo nosso. Recurso eletrônico. Disponível em: <ht-
tps://www.gov.br/anpd/pt-br/documentos-e-publicacoes/guia-poder-pu-
blico-anpd-versao-final.pdf>. Acesso em 29 jun. 2022.
518
dade. O teste de necessidade na LIA, portanto – e, para todos

os efeitos, em todas as situações em que houver a aplicação do
princípio da necessidade –, deve ser analisado sob estas duas
perspectivas – a coleta mínima de dados, por um lado, e a forma
como a finalidade é concretizada, por outro.
Se o controlador for “aprovado” no teste de necessi-
dade, passará então para a fase de proporcionalidade – ou,
como indica a ANPD, deverá realizar um “teste de balancea-
mento em que irá se verificar o que prevalece – o legítimo
interesse do controlador ou os direitos e liberdades do titular
de dados”28. Neste teste de balanceamento o controlador de-
verá identificar os riscos à privacidade que sua atividade de
tratamento poderá gerar para os titulares e quais medidas de
mitigação de tais riscos podem ser implementadas para que
as legítimas expectativas dos titulares e seus direitos e liber-
dades fundamentais não sejam suplantados pelos interesses
do controlador – por mais legítimos que sejam.
Um ponto relevante a ser destacado é que os riscos
identificados em uma LIA são riscos à privacidade como
um todo, e não apenas riscos à segurança da informação.
Um erro muito comum é o de considerar que, se existem
medidas de segurança técnicas e administrativas que ga-
rantam a confidencialidade, a integridade e a disponibili-
dade dos dados pessoais – no seu conjunto conhecidas pela
sigla “CID” –, então a privacidade estará também garanti-
da. Porém, este é um erro basilar na proteção de dados, já
que é plenamente possível ter a garantia da CID e ainda as-
sim serem gerados riscos à privacidade, tais como a distor-
ção, a apropriação, a divulgação indevida, a reidentifica-

28

pp. 22 de março de 2021, parágrafo 118. Disponível em: <https://www.gov.
br/anpd/pt-br/assuntos/noticias/inclusao-de-arquivos-para-link-nas-noti-
cias/NotaTecnicaANPDWhatsapp_ocr.pdf>. Acesso em 29 jun. 2022.
519
ção ou a estigmatização, dentre outros29, 30. Dados podem

ser muito bem protegidos de atacantes mal-intencionados
e serem compartilhados com terceiros sem conhecimento
do titular – ou seja, riscos à privacidade existem mesmo
com garantia da CID.
Outro aspecto relevante diz respeito ao que podem
ser consideradas como legítimas expectativas do titular,
que é outro critério essencial na realização do teste de
proporcionalidade ou balanceamento. A ANPD apresenta
a sua visão sobre este critério ao afirmar que “a avalia-
ção a ser realizada pelo controlador acerca das legítimas
expectativas da pessoa titular de dados deve considerar
o respeito aos seus direitos e liberdades individuais”. De
maneira mais concreta, a autoridade brasileira deixa cla-
ro que as legítimas expectativas relacionam-se ao fato de
que “o controlador deve se certificar de que a utilização
pretendida [dos dados pessoais] poderia ser razoavelmen-
te prevista pela pessoa titular de dados” – ou, por outras
palavras, ”que seria possível à pessoa titular supor que
aquela utilização poderia ocorrer com seus dados pes-
soais a partir das informações prestadas pelo controlador
29
Para uma indicação das principais fontes de riscos à privacidade ver ISO.
International Organization for Standardization. ISO/IEC 27557. Informa-
tion security, cybersecurity and privacy protection – Application of ISO
31000:2018 for organizational privacy risk management. Disponível em:
<https://www.iso.org/standard/71675.html>. Acesso em 20 abr. 2022.
30
Para uma análise aprofundada dos principais riscos à privacidade e
de sua diferenciação em relação aos riscos à segurança da informação
ver USA. National Institute of Standards and Technology. NIST Privacy
Framework: a tool for improving privacy through enterprise risk mana-
gement, version 1.0. 16 de janeiro de 2020. Disponível em https://doi.
org/10.6028/NIST.CSWP.01162020pt. Acesso em 29 jun. 2022; e SO-
LOVE, Daniel J. A Taxonomy of Privacy. University of Pennsylvania
Law Review, Vol. 154, No. 3, p. 477, January 2006, GWU Law School
Public Law Research Paper No. 129. Disponível em: <https://ssrn.com/
abstract=667622>. Acesso em 29 jun. 2022.
520
no momento da coleta do dado pessoal”31.

A ANPD oferece um exemplo sintético, mas concreto,
de como realizar uma LIA na prática. Suponha-se uma ativida-
de de tratamento de coleta de dados de navegação para melho-
ria da experiência do usuário durante a navegação. Neste caso
o controlador coleta dados de navegação a partir do acesso de
pessoas usuárias a seu site na internet com a finalidade de de-
senvolver ações de melhoria da experiência durante a nave-
gação. Para tanto, serão coletados dados pessoais mediante a
utilização de cookies, que serão utilizados para gerar informa-
ções sobre a navegação das pessoas usuárias. No exemplo, o
controlador deverá, em momento anterior à coleta, avaliar: a
legitimidade do seu interesse; a proporcionalidade entre o inte-
resse declarado e as legítimas expectativas da pessoa titular do
dado; e a eventual existência de violação aos direitos e liberda-
des individuais da pessoa titular do dado, devendo, ainda, ado-
tar salvaguardas para garantir o respeito aos direitos da pessoa
titular. Além disso, o controlador deve limitar a utilização dos
dados pessoais à finalidade declarada, não podendo utilizá-los
para outras finalidades, como o desenvolvimento de perfis de
pessoas usuárias a partir dos hábitos de navegação. Caso o con-
trolador pretenda utilizar os dados pessoais para essa segunda
finalidade, deverá, necessariamente, fazê-lo com fundamento
em outra base legal, como o consentimento, ou realizar nova
avaliação de legítimo interesse. Por fim, somente os dados pes-
soais estritamente necessários para a finalidade pretendida po-
derão ser tratados e o controlador deverá adotar medidas para
garantir a transparência do tratamento32.
31
Recurso eletrônico. Brasília: Tribunal Superior Eleitoral, 2021, parágrafo
61. Disponível em: <https://www.gov.br/anpd/pt-br/documentos-e-publi-
cacoes/guia_lgpd_final.pdf>. Acesso em 29 jun. 2022.
521
Um último ponto importante ainda no contexto do tes-

te de proporcionalidade refere-se à necessidade de transpa-
rência para a utilização da base legal legítimo interesse. Como
é sabido, a LGPD não exige que os controladores indiquem,
em seus avisos de privacidade, quais as bases legais utiliza-
das para sustentar suas atividades de tratamento. A ANPD,
no entanto, considera esta indicação como uma boa prática
com vistas ao cumprimento do princípio da transparência,
que “impõe obrigações de cunho geral e que demandam uma
postura ativa do agente de tratamento, que tem o dever de
disponibilizar as informações exigidas pela lei, independen-
temente de solicitação do titular”33. A transparência é ainda
mais relevante quando da utilização do legítimo interesse
“para que seja possibilitado o controle social em relação ao
balanceamento entre os interesses do controlador e a legitimi-
dade do tratamento”34, o que está em linha com o já indicado
princípio da responsabilização e da prestação de contas.
Vale lembrar, por fim, que uma LIA não é o mesmo
que um Relatório de Impacto à Proteção de Dados (doravante
“RIPD”). Por mais que o § 3º do art. 10 da LGPD indique
32
Recurso eletrônico. Brasília: Tribunal Superior Eleitoral, 2021, p. 28-9.
Disponível em: <https://www.gov.br/anpd/pt-br/documentos-e-publica-
coes/guia_lgpd_final.pdf>. Acesso em 29 jun. 2022.
33
2022, parágrafo 55. Recurso eletrônico. Disponível em: <https://www.
gov.br/anpd/pt-br/documentos-e-publicacoes/guia-poder-publico-anpd-
-versao-final.pdf>. Acesso em 29 jun. 2022.
34
522
que a ANPD poderá solicitar um RIPD ao controlador quan-

do este fundamentar suas atividades de tratamento na base
legal legítimo interesse, é importante ressaltar que os dois do-
cumentos são distintos entre si. Enquanto uma LIA tem por
foco analisar apenas questões jurídicas referentes ao legítimo
interesse, um RIPD é muito mais extenso e profundo, que
analisa potenciais riscos à privacidade decorrentes de uma
atividade de tratamento e que engloba não apenas a análise
de uma possível base legal, mas sim de todos os princípios
da LGPD e, ainda, inclui medidas de segurança técnicas e
administrativas passíveis de mitigar os riscos identificados.
Parece não fazer sentido, portanto, indicar que a utiliza-
ção da base legal legítimo interesse é dependente da realização
de um RIPD35. Este posicionamento – o de que são dois do-
cumentos distintos, com finalidades distintas – parece ter sido
adotado também pela ANPD, que indicou que uma LIA “não
é suficiente para substituir a necessidade de RIPD”, indican-
do nesta ocasião todos os elementos que demonstram que um
RIPD é muito mais aprofundado do que uma LIA36. Neste sen-
tido, em termos não apenas metodológicos, mas também prá-
ticos, deve-se utilizar um padrão de análise para a realização
da LIA e outro distinto, mais profundo e mais extenso, para a
realização de um RIPD37 – o que não impede a inclusão de uma
LIA em um RIPD se o contexto assim o sugerir.
35
Em sentido contrário ver MAIA, Fernanda Simplício; YUN, Remilina.
Base legal “Legítimo Interesse” e seus desdobramentos. In: PALHARES,
Felipe (coord.). Temas atuais de proteção de dados. Livro eletrônico. 2.
ed. São Paulo: Thomson Reuters Brasil, 2022.
36
37
Uma metodologia recomendável para a realização de um RIPD está presente em
ABNT. Associação Brasileira de Normas Técnicas. ABNT NBR ISO/IEC 29184.
Tecnologia da informação – Técnicas de segurança – Avaliação de impacto de pri-
vacidade – Diretrizes. Primeira edição 26.11.2020. Rio de Janeiro: ABNT, 2020.
523
Um último ponto relevante a respeito do legítimo in-

teresse – e da proteção de dados como um todo – diz respeito
ao seu status após a Emenda Constitucional nº 115. É isto que
será mencionado na próxima seção deste artigo.
IV. O LEGÍTIMO INTERESSE E A EMENDA

CONSTITUCIONAL Nº 115
A promulgação da Emenda Constitucional nº 115 (do-

ravante “EC115”), que incluiu a proteção de dados pessoais
como um direito fundamental na Constituição brasileira e fi-
xou como competência privativa da União a possibilidade de
legislar sobre proteção e tratamento de dados pessoais levantou
uma questão: será possível continuar a utilizar a base legal legí-
timo interesse como hipótese de tratamento de dados pessoais?
O questionamento foi feito tendo-se em vista o se-
guinte raciocínio: o legítimo interesse é do controlador. Por
sua vez, a proteção de dados do titular, por ter agora status
constitucional, estaria “acima” do interesse do controlador,
não sendo mais possível utilizar esta base legal. O argumento
vai ainda mais além ao afirmar que a EC115 teria revogado o
inciso IX do art. 6º da LGPD.
Em primeiro lugar, é importante ressaltar que o inciso
LXXIX, adicionado ao art. 5º da Constituição Federal em de-
corrência da EC115, tem a seguinte redação: “é assegurado, nos
termos da lei, o direito à proteção dos dados pessoais, inclusive
nos meios digitais”. Ou seja, o próprio texto indica que o direito
à proteção dos dados pessoais será garantido conforme disposto
em legislação específica sobre este tema, e a legislação à qual
o inciso se refere, obviamente, é a LGPD. Portanto, desde que
o disposto na LGPD seja seguido, não há problema algum em
tratar dados pessoais – e como se viu nas duas primeiras seções
524
deste artigo, há um arcabouço jurídico robusto que sustenta ple-

namente o uso do legítimo interesse como base legal.
Em segundo lugar, é importante destacar que a her-
menêutica jurídica existe justamente para solucionar estes
supostos “conflitos de normas” – o que, ressalte-se mais uma
vez, não é o caso aqui. Nem seria o caso de se falar em revo-
gação do inciso referente ao legítimo interesse na LGPD, já
que a EC115 não fez isto de maneira expressa. O que poderia
ser levantado seria uma eventual Ação Direta de Inconstitu-
cionalidade, o que também não faz sentido porque não há
afronta formal ou material da LGPD em relação a este novo
inciso do art. 5º da Constituição Federal.
Pelo contrário: a LIA, citada anteriormente nes-
te artigo, é justamente o mecanismo padrão para que o
controlador possa avaliar se está se sobrepondo aos di-
reitos e liberdades fundamentais do titular. Como é sabi-
do, nenhum direito é absoluto – nem mesmo os direitos
fundamentais –, e também o direito à proteção de dados
não o seria – como na prática não é, como por exemplo
em situações de litígio nas quais o uso de dados pessoais
é permitido para que possa ser possível o exercício de
direitos pelas partes envolvidas.
Dizer que os interesses de um controlador estão
acima dos direitos e liberdades dos titulares não significa
dizer que estes direitos e liberdades estão sendo neces-
sariamente infringidos. Novamente, e sendo repetitivo, é
por este motivo que existe a LIA: é aqui que o controlador
irá demonstrar como analisa seu relacionamento com os
titulares. É neste documento que o controlador irá indicar
quais são as medidas que ele obrigatoriamente irá aplicar
justamente para garantir que estes direitos e liberdades
sejam garantidos. É na LIA que se faz, portanto, o exercício
da proporcionalidade entre a finalidade do controlador e os
direitos e liberdades dos titulares – não havendo nenhum
525
impedimento no uso dos dados dos titulares com base no

legítimo interesse, mas sim a busca de um equilíbrio que
concretize outro princípio da LGPD, o já citado princípio
da responsabilidade e prestação de contas38.
V. CONCLUSÃO
O objetivo do texto foi o de trazer um panora-

ma a respeito da base legal legítimo interesse não apenas
conforme previsto na LGPD, mas também com base nos
posicionamentos já expressos pela ANPD a respeito do tema.
Nesta perspectiva, na primeira parte do texto falou-
-se a respeito do legítimo interesse na LGPD e das seis
características intrínsecas desta base legal que já estão
presentes no ordenamento jurídico brasileiro. Na segun-
da parte foram apontados alguns direcionamentos que a
ANPD já deu a respeito desta base legal no caso brasileiro,
ainda que até à data de redação deste artigo não exista ne-
nhum Guia Orientativo a respeito do tema.
Por fim, a parte final do artigo trouxe breves apon-
tamentos a respeito da relação do legítimo interesse com a
Emenda Constitucional nº 115, de maneira a clarificar que
esta base legal não deixou de existir em decorrência desta
Emenda e que o legítimo interesse não foi revogado, con-
forme algumas vozes argumentam.
38
SILVA, Matheus Passos. O legítimo interesse não deixou de existir. In: DPO na
Prática. 4 de abril de 2022. Disponível em: <https://dponapratica.com.br/2022/04/o-
-legitimo-interesse-nao-deixou-de-existir/>. Acesso em 29 jun. 2022.
526
VI. REFERÊNCIAS
ABNT. Associação Brasileira de Normas Técnicas. ABNT

NBR ISO/IEC 29184. Tecnologia da informação – Técnicas de
segurança – Avaliação de impacto de privacidade – Diretrizes.
Primeira edição 26.11.2020. Rio de Janeiro: ABNT, 2020.
BAIÃO, Renata Barros Souto Maior; TEIVE, Marcello Muller.
O artigo 23 da LGPD como base legal autônoma para o trata-
mento de dados pessoais pelo poder judiciário. In: PALHARES,
Felipe (coord.). Temas atuais de proteção de dados. Livro ele-
trônico. 2. ed. São Paulo: Thomson Reuters Brasil, 2022.
BRASIL. Autoridade Nacional de Proteção de Dados. Guia
Orientativo Tratamento de Dados Pessoais pelo Poder Público.
Versão 1.0, Jan. 2022. Recurso eletrônico. Disponível em https://
www.gov.br/anpd/pt-br/documentos-e-publicacoes/guia-poder-
-publico-anpd-versao-final.pdf. Acesso em 29 jun. 2022.
BRASIL. Autoridade Nacional de Proteção de Dados. Nota
Técnica nº 02/2021/CGTP/ANPD. Atualização da Política de
Privacidade do WhatsApp. 22 de março de 2021. Disponível
em https://www.gov.br/anpd/pt-br/assuntos/noticias/inclu-
sao-de-arquivos-para-link-nas-noticias/NotaTecnicaANP-
DWhatsapp_ocr.pdf. Acesso em 29 jun. 2022.
BRASIL. Autoridade Nacional de Proteção de Dados e Tri-
bunal Superior Eleitoral. Guia Orientativo Aplicação da Lei
Geral de Proteção de Dados Pessoais (LGPD) por agen-
tes de tratamento no contexto eleitoral. Recurso eletrônico.
Brasília: Tribunal Superior Eleitoral, 2021. Disponível em
https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/
guia_lgpd_final.pdf. Acesso em 29 jun. 2022.
527
BRASIL. Imprensa Nacional. Diário Oficial da União. Emen-

da Constitucional nº 115. Altera a Constituição Federal para
incluir a proteção de dados pessoais entre os direitos e ga-
rantias fundamentais e para fixar a competência privativa da
União para legislar sobre proteção e tratamento de dados pes-
soais. Disponível em https://www.in.gov.br/web/dou/-/emen-
da-constitucional-n-115-379516387. Acesso em 29 jun. 2022.
BRASIL. Presidência da República. Secretaria-Geral. Sub-
chefia para Assuntos Jurídicos. Decreto-Lei nº 4.657, de 4 de
setembro de 1942. Lei de Introdução às normas do Direito Bra-
sileiro. Disponível em https://www.planalto.gov.br/ccivil_03/
Decreto-Lei/Del4657compilado.htm. Acesso em 29 jun. 2022.
BRASIL. Presidência da República. Secretaria-Geral. Subchefia
para Assuntos Jurídicos. Lei nº 12.965, de 23 de abril de 2014. Esta-
belece princípios, garantias, direitos e deveres para o uso da Internet
no Brasil. Disponível em https://www.planalto.gov.br/ccivil_03/_
ato2011-2014/2014/lei/l12965.htm. Acesso em 29 jun. 2022.
BRASIL. Presidência da República. Secretaria-Geral. Sub-
chefia para Assuntos Jurídicos. Lei nº 13.709, de 14 de agosto
de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD).
Disponível em https://www.planalto.gov.br/ccivil_03/_
ato2011-2014/2014/lei/l12965.htm. Acesso em 29 jun. 2022.
EUROPA. Grupo de Trabalho do Artigo 29.º para a Proteção de
Dados. Parecer 06/2014 sobre o conceito de interesses legítimos do
responsável pelo tratamento dos dados na aceção do artigo 7.º da
Diretiva 95/46/CE. Adotado em 9 de abril de 2014. WP 217. Disponí-
vel em https://ec.europa.eu/justice/article-29/documentation/opinion-
-recommendation/files/2014/wp217_pt.pdf. Acesso em 29 jun. 2022.
IAPP. International Association of Privacy Professionals. UK
Data Protection Reform. Post-consultation plans developed
by the UK government. Disponível em https://iapp.org/me-
528
dia/pdf/resource_center/uk_data_protection_reform_chart.
pdf. Acesso em 29 jun. 2022.
ISO. International Organization for Standardization. ISO/IEC
27557. Information security, cybersecurity and privacy pro-
tection – Application of ISO 31000:2018 for organizational
privacy risk management. Disponível em https://www.iso.
org/standard/71675.html. Acesso em 20 abr. 2022.
LEITE, Luiza. Tratamento de dados pessoais. In: FEIGELSON, Bru-
no; BECKER, Daniel (coords.). Comentários à lei geral de proteção
de dados. Livro eletrônico. São Paulo: Thomson Reuters Brasil, 2020.
MAIA, Fernanda Simplício; YUN, Remilina. Base legal “Le-
gítimo Interesse” e seus desdobramentos. In: PALHARES,
Felipe (coord.). Temas atuais de proteção de dados. Livro
eletrônico. 2. ed. São Paulo: Thomson Reuters Brasil, 2022.
OLIVEIRA, Ricardo; COTS, Márcio (coords.). O legítimo
interesse e a LGPDP. Livro eletrônico. 2. ed., rev. atual. e
ampl. São Paulo: Thomson Reuters Brasil, 2021.
SILVA, Matheus Passos. O legítimo interesse não deixou de
existir. In: DPO na Prática. 4 de abril de 2022. Disponível
em https://dponapratica.com.br/2022/04/o-legitimo-interes-
se-nao-deixou-de-existir/. Acesso em 29 jun. 2022.
SOLOVE, Daniel J. A Taxonomy of Privacy. University of
Pennsylvania Law Review, Vol. 154, No. 3, p. 477, January 2006,
GWU Law School Public Law Research Paper No. 129. Disponí-
vel em https://ssrn.com/abstract=667622. Acesso em 29 jun. 2022.
USA. National Institute of Standards and Technology. NIST
Privacy Framework: a tool for improving privacy throu-
gh enterprise risk management, version 1.0. 16 de janei-
ro de 2020. Disponível em https://doi.org/10.6028/NIST.
CSWP.01162020pt. Acesso em 29 jun. 2022.
529
TRANSFERÊNCIA INTERNACIONAL DE DADOS

NO ÂMBITO DO CLOUD COMPUTING E OS
DESAFIOS ENFRENTADOS PELA LGPD
Nara Telles Gonçalves1
RESUMO
Apresenta e discute a evolução do Cloud Computing e sua

adoção sob o prisma organizacional, analisando-se os impac-
tos de sua utilização na proteção de dados pessoais. Adota-se
a problemática da transferência internacional de dados pes-
soais como ponto crucial de análise de possíveis consequên-
cias para as organizações em sua adequação aos ditames da
Lei Geral de Proteção de Dados. A justificativa para esta es-
colha se dá pelo potencial embate de pontos de vista, levan-
do-se em consideração as lacunas normativas e regulatórias
ainda existentes acerca do tema.
Palavras-chave:
Cloud Computing. Proteção de Dados. Lei Geral de Proteção
de Dados. Transferência Internacional de Dados Pessoais.
ANPD. Inovação. Tecnologia. Transformação Digital.
1
Graduada em Direito pela Universidade Federal da Bahia. Pós-Graduada
em Direito Público. Pós Graduanda em Direito Digital pela Faculdade
Baiana de Direito. Advogada em Privacidade e Proteção de Dados. Cer-
tificada pela EXIN: EXIN PDPF e EXIN PDPE. Membro da Associação
Internacional de Profissionais de Privacidade – IAPP.
530
ABSTRACT
This study aims to present and discuss the repercussions of
the evolution of cloud computing and its adoption by com-
panies, analyzing the impacts of its use on personal data pro-
tection and data and privacy. To this end, the international
data transfers issue is a crucial point to avaluate the conse-
quences for the companies, in their process of adequation to
the Brazlian Data Protection Law standards. The potential
academic discussion of this theme, caused by the existing nor-
mative and regulatory gaps on the subject justifies its choice.
Keywords:
Cloud Computing. Data Protection. General Data Protection
Law. International Transfer of Personal Dat. ANPD. Innova-
tion. Technology. Digital Transformation
I. INTRODUÇÃO
Com o avanço da tecnologia, elemento de grande rele-

vância para a estruturação organizacional de instituições, em-
presariais ou de Poder Público, resta evidente a necessidade
de se compreender os efeitos de ferramentas relacionadas a
atividades que auxiliam a gestão da informação, bem como a
disseminação e acesso aos dados tratados pelos mais diversos
tipos de organizações.
A mais, o alto volume de dados em circulação na in-
ternet, faz com que as empresas sintam a necessidade de se
ajustar a novas formas de armazenamento e gerenciamento
de seus dados.
Uma das maiores inovações inseridas nos programas de
gestão empresarial, trazidas pelo universo digital, é o Cloud
531
Computing, haja vista ser inegável que, hoje, boa parte das
aplicações utilizadas adotam algum tipo de solução com hos-
pedagem em nuvem. Por outro lado, o desenvolvimento ace-
lerado de soluções em tecnologia, tem trazido como conse-
quência quase direta, maior preocupação com a proteção da
privacidade dos indivíduos titulares de dados pessoais.
Com o advento da Lei Geral de Proteção de Dados, o Bra-
sil tem se tornado cada vez mais operante na missão de garan-
tir os a privacidade de seus cidadãos, motivo pelo qual temas
como a transferência internacional de dados pessoais – tópico que
coaduna com a discussão acerca da hospedagem de informações
em servidores fora do país – têm estado tão em voga ultimamente.
Nesse contexto, o presente artigo possui como objetivo
analisar os impactos causados pela LGPD no uso da computação
em nuvem para o armazenamento de dados. Para tanto, estudo
trará uma visão geral sobre o conceito de computação em nuvem
e suas peculiaridades e uma análise dos impactos da Lei Geral
de Proteção de Dados no Cloud Computing, levando-se em con-
sideração a ocorrência de transferência internacional de dados
pessoais quando do compartilhamento de dados com servidores
localizados fora do território nacional, ainda que se esteja diante
de um cenário de lacunas regulatórias sobre o tema.
II. CLOUD COMPUTING: CONCEITO E ESPECIFI-

CIDADES
O Cloud Computing, ou computação em nuvem, possi-

bilita a prestação serviços e soluções de TIC (tecnologia da
informação), perpassando pela infraestrutura de armazena-
gem, até aplicações e serviços, como Softwares, plataformas
dentre outros tipos de infraestrutura. Nos anos 2000, este tipo
de serviço começou a se popularizar e ganhar força nas mais
diversas áreas, ao passo em que começou a ser oferado co-
532
mercialmente por grandes nomes do mercado da tecnologia,

como Amazon, Google e Microsoft.
Em 2011 o National Institute of Standards and Tech-
nology – NIST, dos Estados Unidos, publicou uma recomen-
dação definindo o termo Cloud Computing, oportunidade em
que estabeleceu suas principais características, modelos de
desenvolvimento e de serviço2.
Restou reconhecido que o Cloud Computing se com-
preende em sistemas que realizam o tratamento de dados pes-
soais, em especial o seu armazenamento, em servidores exter-
nos ao território nacional, permitindo o acesso remoto a este
banco de dados através da internet. Dessa forma, o usuário
possui a experiência dos recursos e ferramentas em seu dispo-
sitivo, ao mesmo tempo em que o armazenamento e tratamento
dos dados pessoais, em sua maior parte, é realizado externa-
mente, por um terceiro contratado como solução tecnológica3.
Através de uma simples observação da realidade corpo-
rativa atual, nota-se que o serviço de computação em nuvem é
uma realidade de aplicação diária em todo e qualquer tipo de
organização, por menos complexa e madura que seja. Afinal,
estar-se falando de serviços básicos como o armazenamento de
dados, utilização de contas de e-mail, programas de produtivi-
dade, aplicativos de banco, ou seja, quase todo tipo de solução
tecnológica. Não por menos, o Cloud Computing se tornou uma
das soluções mais utilizadas e adquiridas no mercado digital.
2
MELO, Iara Peixoto. Cloud computing, transferência internacional de
dados pessoais e os desafios da LGPD. 19 de junho de 2020. Disponí-
vel em: <https://chenut.online/br/cloud-computing-transferencia-inter-
nacional-de-dados-pessoais-e-os-desafios-da-lgpd/#_ftn2>. Acesso em
25/06/2022.
3
Idem. Ibidem.
533
De acordo com o supracitado National Institute of Stan-

dards and Technolofy, o Cloud Computing é um modelo que visa
permitir o acesso de rede, de forma onipresente e sob demanda, a
um conjunto compartilhado de recursos de computação configu-
ráveis (como redes, servidores, plataformas de armazenamento,
aplicativos e serviços), que podem ser rapidamente provisiona-
dos e liberados com esforço mínimo de gerenciamento ou inte-
ração do provedor de serviços (em livre tradução)4.
Em resumo, a computação em nuvem permite à Organi-
zação mais eficiência na utilização dos recursos contratados,
disponíveis para sua utilização, sem necessidade de interação
direta com o prestador de serviços, visto que este é contratado
somente pelas soluções tecnológicas.
O que nos interessa é entender que, alguns contratos
informam o país em que os servidores que operam a nuvem
estão situados, entretanto, isso não é uma regra. Além dis-
so, importante compreender que existem diferentes tipos de
computação em nuvem, o que influencia diretamente na pro-
blemática do compartilhamento de dados pessoais5.
Primeiramente, temos a chamada “Nuvem pública”, em
que o provedor promove a sua oferta para a contratação de ser-
viços, sendo aberta ao público em geral, de forma a se fornecer
serviços estruturados por um fornecedor. Grandes exemplos de
nuvem pública são o Google Cloud Platform e Amazon Web
Services. Nos casos ora mencionados, é possível contratar so-
luções disponibilizadas por tais empresas, que, por sua vez,
podem seguir diferentes formatos de computação em nuvem.
4
NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY.
NIST Special Publication 800-145. Setembro de 2021
5
MELO, Iara Peixoto. Cloud computing, transferência internacional de da-
dos pessoais e os desafios da LGPD. 19 de junho de 2020. Disponível em:
<https://chenut.online/br/cloud-computing-transferencia-internacional-de-
-dados-pessoais-e-os-desafios-da-lgpd/#_ftn2>. Acesso em 25/06/2022
534
Já a chamada Nuvem Privada, diferenciam-se da nuvem pú-

blica no que diz respeito à responsabilização. Em suma, a nuvem
privada se caracteriza pelo fato de que a responsabilidade pelo siste-
ma de Cloud Computing é da própria pessoa ou organização. Dessa
forma, são utilizados softwares que facilitam a criação de infraestru-
turas, como o CloudStack. Esse segundo modelo apresenta a van-
tagem de minimizar o compartilhamento de dados com terceiros.
Em terceiro lugar, cumpre mencionar a Nuvem Privada
Gerenciada, desenvolvida quando a empresa cria seu sistema
na nuvem com auxílio da infraestrutura de terceiros, fazendo
com que as atividades de configuração, implantação e manu-
tenção fiquem diretamente a cargo do fornecedor de serviços.
Nesse sentido, a Nuvem Privada Gerenciada diferencia-se da
Nuvem Pública quanto à infraestrutura, visto que esta é dedica-
da ao contratante dos serviços, e não compartilhada e vendida
para a solução de demandas de usuários meramente aderentes.
Por fim, existe a Nuvem Híbrida, que nada mais é do que
a aplicação de ambos os tipos, pública e privada, conforme a ne-
cessidade de cada área. É o caso de uma corporação que utiliza
uma rede privada para o gerenciamento de dados confidenciais
e de maior sensibilidade, ao passo em que utiliza uma Nuvem
Pública para tarefas diárias, simples e que não envolvam um
trânsito robusto de dados de maior valor institucional6.
Entretanto, é inegável que a maioria do tratamento de
dados das organizações, ainda que se esteja falando de um
simples armazenamento, se apoia em recursos externos.
Afinal, os dados são compartilhados com mais agilidade na
computação em nuvem, o que, por consequência, finda por
aumentar a produtividade empresarial.
Em suma, hoje, os serviços de Cloud Computing se
mostram uma solução tecnológica de absoluta imprescindibi-
lidade à manutenção dos negócios das organizações. A agili-
6
VALIANOR, Rodrigo. Cloud Computing: tudo que você precisa saber
sobre. Disponível em: <https://www.remessaonline.com.br/blog/cloud-
-computing/>Acesso em 29/06/2022.
535
dade e economia de recursos são apenas alguns dos exemplos

de vantagens que ficam à disposição de pessoas e organiza-
ções ao utilizarem essas plataformas.
Atualmente, grande parte das empresas utiliza os ser-
viços de computação em nuvem ou Cloud Computing para
otimizar seus negócios. Muitas vezes estes serviços são pres-
tados fora do território nacional e, com a entrada em vigor da
lei 13.709/2018 (LGPD), surge a dúvida sobre a necessidade
de adequar estes serviços aos requisitos para transferência in-
ternacional de dados pessoais.
III. CLOUD COMPUTING E A PROTEÇÃO DE DADOS

PESSOAIS
Não é difícil enxergar o paralelo entre a Lei Geral de

Proteção de Dados e o Cloud Computing. Afinal, a princi-
pal função dos recursos da computação em nuvem é a hos-
pedagem das aplicações corporativas, o que, dentre outras
soluções, promove o armazenamento dos dados do negócio,
conferindo agilidade e performance às rotinas operacionais.
Sob a ótica da proteção de dados pessoais, cuja discus-
são no Brasil é diariamente fomentada com o surgimento dos
recentes normativos sobre o tema, a “localização da nuvem”
passou a ser motivo de preocupação para os contratantes des-
tes serviços, o que vem provocando e incitando diversas pon-
derações e discussões acerca do tema.
Afinal de contas, muitos servidores que operam as apli-
cações em nuvem estão situados em países como Estados
Unidos, China ou Índia, ao passo em que, nem sempre os paí-
ses que abrigam esses servidores são considerados seguros
para transferência de dado pessoais pelas autoridades nacio-
nais de proteção de dados7.
7
MELO, Iara Peixoto. Cloud computing, transferência internacional de da-
536
Como dito alhures, o armazenamento de dados em nuvem

possui a função de guardar e compartilhar arquivos que, em sua
maioria, abrigam dados de maneira devida e em conformidade
com padrões mínimos e eficientes de segura, a fim de evitar a
danificação destes arquivos por meio de incidentes de Segurança
da Informação ou ataques cibernéticos bem sucedidos.
É possível concluir que a computação em nuvem pro-
moveu – e vem promovendo – um considerável e importan-
te impulso a aceitação da ideia de que os serviços podem
ser acessados remotamente, de qualquer lugar do mundo e
a qualquer momento. Em decorrência disso, em um mundo
cada vez mais conectado, a transferência internacional de da-
dos ocorre e está ocorrendo a todo instante, sem que sequer
nos demos conta.
O embate aqui, recai justamente sobre o fato de que
tais transações dependem diretamente de regulamentações
favoráveis à transferência de dados entre diferentes países,
afinal, os serviços de operações em nuvens são contratados e
acessados até mesmo por autoridades governamentais, o que
demonstra a importância da discussão acerca da definição de
padrões mínimos a serem seguidos para a autorização desse
tipo de compartilhamento de dados.
Em síntese, à medida em que as atividades econômicas
e sociais se desenvolvem utilizando soluções tecnológicas,
ações para proteção de dados e privacidade demonstram-se
cada vez mais urgentes. Aqui não mais se trata de uma sim-
ples discussão acerca das vantagens ou desvantagens econô-
micas da utilização e contratação de serviços de Cloud Com-
puting à livre entendimento e ponderação.
Em verdade, o progresso tecnológico mundial propicia
o surgimento de pequenos desenvolvedores que atraem consu-
dos pessoais e os desafios da LGPD. 19 de junho de 2020. Disponível em:
<https://chenut.online/br/cloud-computing-transferencia-internacional-de-
-dados-pessoais-e-os-desafios-da-lgpd/#_ftn2>. Acesso em 25/06/2022
537
midores através de uma proposta de menor aporte financeiro,

ao passo em que camuflam as lacunas de segurança em seus
sistemas, trazendo grande risco ao contratante de seus serviços.
Dessa forma, a possibilidade da transferência indiscriminada
de dados traz à baila questões fundamentais para a garantia dos
direitos individuais e a integridade da democracia.
Assim sendo, considerando que resta estabelecido que
a utilização do Cloud Computing configura uma modalidade
de transferência internacional de dados pessoais, a problemá-
tica passa a recair sobre quais formas de proteção e de me-
didas de segurança podem ser adotadas pelas organizações
que se utilizam desse tipo de tecnologia em seu programa de
gestão corporativa.
IV. MEDIDAS DE SEGURANÇA A SEREM ADOTA-

DAS QUANDO DA UTILIZAÇÃO DE SERVIÇOS DE
COMPUTAÇÃO EM NUVEM
A Lei Geral de Proteção de Dados estabelece uma série

de requisitos para a transferência internacional de dados pes-
soais, dispostos em seu artigo 33. Se levarmos em considera-
ção que, para a referida Lei, o simples armazenamento dados
pessoais já é considerado um tipo de tratamento, entende-se
que a utilização de servidores em nuvem, fora do território
nacional, configura, sim, uma espécie de transferência inter-
nacional de dados pessoais8.
Neste sentido, cumpre ao usuário observar os requisitos
trazidos, a fim de somente proceder com a utilização das pla-
taformas de computação em nuvem acaso sejam identificados
8
Lei nº 13.709 de 14 de agosto de 2018. Disponível em: < http://www.
planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm>. p.329.
538
os requisitos mínimos de segurança trazidos pela Lei no mo-

mento de contratação das aplicações.
Contudo, a legislação acerca dessa modalidade de com-
partilhamento de dados deixou “pontas soltas”, que urgem
regulamentação pela Autoridade Nacional de Proteção de
Dados, principalmente acerca da indicação dos países con-
siderados apropriados para a autorização da transferência de
dados pessoais, além, é claro, da aprovação de cláusulas es-
pecíficas para a autorização desse compartilhamento, sejam
elas cláusulas padrão, normas corporativas globais, ou outros
meios de garantia de conformidade e segurança.
Isto é, o total cumprimento de requisitos mínimos de
segurança depende diretamente de saneamento de brechas re-
gulatórias por parte da ANPD, afinal, não cabe ao contratan-
te a definição de quais países ou organismos internacionais
garantem grau de proteção de dados pessoais condizente e
adequado ao previsto em Lei.
Em verdade, a redação do caput do artigo 33 da Lei Ge-
ral de Proteção de Dados demonstra que o legislador buscou
restringir as hipóteses em que a transferência internacional de
dados pessoais é permitida. Nada obstante, considerando que
toda a construção legislativa da LGPD é arquitetada na lógica
da interpretação mais protetiva, estando o Brasil diante de
clara ausência de maiores referências sobre o tema em seu or-
denamento jurídico, muitos doutrinadores defendem que, por
hora, se se recorra aos entendimentos europeus sobre o tema9.
Novamente, reitera-se a influência das regras trazidas
pelo GDPR, que reconhece como “países adequados”: Ador-
9
MALDONADO, Viviane Nóbrega; ÓPICE BLUM, Renato. LGPD: Lei
Geral de Proteção de Dados Pessoais comentada. Coordenadores Viviane
Nóbrega Maldonado e Renato Ópice Blum. 3. ed. rev. atual. e ampl. São
Paulo; Thomson Reuters Brasil, 2021.
539
ra, Argentina, Canadá, Ilhas Faroe, Guersney, Israel, Ilha de

Man, Jersey, Nova Zelândia, Suíça, Uruguai, e Japão. Sur-
preende a ausência dos Estados Unidos na lista de acima, o
que se dá em virtude da conhecida “Schrems II”, caso em
que a Corte de Justiça da União Europeia (CJEU) publicou
sua decisão pela invalidade do EU-US Privacy Shield como
base para as transferências internacionais de dados pessoais
da União Europeia (UE) para os Estados Unidos.
A decisão da Corte impactou todo o mundo, incluindo
o Brasil. Uma das reflexões trazidas remete justamente à uti-
lização do modelo de legitimação das transferências interna-
cionais de dados pessoais com base nas “cláusulas contratuais
padrão” (art. 33, inciso II, alínea b, LGPD), que equivale às
Standard Contractual Clauses10.
De forma semelhante ao GDPR, a LGPD, prevê que a
definição do conteúdo de cláusulas-padrão contratuais deverá
ser realizada pela Autoridade Nacional de Proteção de Dados
(ANPD), a partir de requisitos que observem os direitos, ga-
rantias e princípios da Lei Geral de Proteção de Dados.
Os questionamentos (não respondidos) sobre o com-
partilhamento transfronteiriço de dados pessoais gera inse-
gurança jurídica para as empresas e Órgãos Públicos, que uti-
lizam servidores de nuvem localizados nos Estados Unidos,
por exemplo, para armazenamento de dados.
Afinal, com a falta de normatização sobre o tema e a
consequente sugestão de inspiração em normativos e deci-
sões advindas do modelo europeu, resta aos contratantes bra-
sileiros a indagação acerca da consideração da (in)adequação
dos Estados Unidos a padrões mínimos de segurança.
10
CABELLA, Daniela Monte Serrat; TEÓFILO, Carolina. Schrems II e
LGPD: reflexões acerca dos impactos da decisão da CJEU no cenário bra-
sileiro. Disponível em: <https://www.migalhas.com.br/depeso/331982/
schrems-ii-e-lgpd--reflexoes-acerca-dos-impactos-da-decisao-da-cjeu-
-no-cenario-brasileiro>. Acesso em 24/06/2022.
540
Parece interessante que, nos casos em que a dúvida sobre

este tópico ainda persiste, se utilizem das seguranças advindas
de cláusulas contratuais padrão, que remetem diretamente às
SCC europeias. Sobre cláusulas relativas à transferência inter-
nacional de Dados Pessoais, cumpre mencionar que a Comis-
são Europeia disponibiliza modelos padrão, que subsidiam um
padrão de segurança na transferência de Dados11.
Com relação às normas corporativas globais, trazidas
pela LGPD, estas encontram correspondência e inspiração
direta nas BCR europeias, normas estas pensadas na lógica
de funcionamento de empresas multinacionais, grupos de
franquias e joint ventures, porém, que também enfrentam a
necessidade de aprovação pela Autoridade Nacional.
De mais a mais, bom que se diga que todas as garantias
mencionadas no inciso II do art. 33 da Lei Geral de Proteção
de Dados também devem ser objeto de chancela e regulamen-
tação pela ANPD. Neste sentido, Luis Fernando Prado Chaves
(2021) defende que não há forma prática de se garantir, ou se-
quer se exigir do controlador de dados, o atendimento às regras
para transferências internacionais de dados previstas na Lei12.
Em resumo, não podem os agentes de tratamento, en-
quanto usuários deste tipo de solução tecnológica, ser penali-
zados pela inércia da Administração Pública em seu papel de
disciplinar regras que devem reger essa – e outras – operações.
Assim, deixando de lado por um momento as hipóteses
de permissão de transferência internacional de dados pessoais
que talvez aqui não se apliquem, uma aparente solução poderia
dar amparo para autorização da transferência internacional de
dados pessoais: o livre consentimento do titular de dados.
11
Idem. Ibidem.
12
CHAVES, Luis Fernando Prado in: MALDONADO, Viviane Nóbrega; ÓPI-
CE BLUM, Renato. LGPD: Lei Geral de Proteção de Dados Pessoais comen-
tada. Coordenadores Viviane Nóbrega Maldonado e Renato Ópice Blum. 3. ed.
rev. atual. e ampl. São Paulo; Thomson Reuters Brasil, 2021.p. 329-343.
541
Neste ponto, a LGPD busca trazer o consentimento

como alternativa para legitimar a transferência internacional
de dados, o que se contrapõe justamente ao entendimento
trazido pelo GDPR, que, por sua vez, trata o consentimento
como exceção à regra. Mesmo assim, a concessão de consen-
timento do titular não é tarefa facilmente cumprida. Afinal, o
consentimento deve ser garantido através de uma manifesta-
ção livre, informada e inequívoca, para uma finalidade deter-
minada, e que deve apresentar um nível de robustez propor-
cional ao risco oferecido ao titular13.
Assim dizendo, nota-se que, diante das particularida-
des da atividade e dos requisitos legais para a obtenção deste
consentimento, tende-se a crer que essa hipótese seja deveras
preterida, especialmente pelas garantias previstas e exempli-
ficadas pelo inciso II do artigo 33.
Qual seria a solução, então? Diante do silêncio da Au-
toridade Nacional sobre o tema, a dificuldade interpretativa
parece buscar repouso no bom gerenciamento de riscos. É
dizer, a partir do momento em que não existem direciona-
mentos expressos, cumpre ao controlador a observância dos
padrões de segurança e diligência esperados para que se rea-
lize qualquer operação de tratamento de dados.
Não parece coerente penalizar uma empresa que con-
trate serviços do Google ou da Microsoft, por exemplo, ainda
que seus servidores estejam hospedados nos Estados Unidos,
país que, como visto não está na lista de países adequados de
acordo com parâmetros europeus.
Desde que se esteja devidamente demonstrada a contra-
tação com operadores que obedeçam a critérios satisfatórios de
segurança, e que se utilize de instrumentos contratuais propria-
mente instruídos, resta demonstrada a preocupação do agente
de tratamento, ora contratante, em salvaguardar os direitos e
garantias de privacidade dos titulares dos dados que opera.
13
Idem. Ibidem.
542
V. CONCLUSÃO
A inegável necessidade empresária de utilização de sis-

temas de computação em nuvem não pode ser travada por
empecilhos trazidos pela falta de atuação da Administração
quando da necessidade de determinação dos requisitos legais
que regem esse tipo de operação.
É dizer, não se pode falar em penalização dos agentes
de tratamento, quando não há efetiva regulamentação sobre
as perspectivas, parâmetros e expectativas da Autoridade Na-
cional sobre o tema.
Isso de modo algum exime aquele que contrata as apli-
cações de Cloud Computing de agirem com a devida prudência
esperada e exigida pela Lei Geral de Proteção de Dados. Afinal
de contas, os fundamentos da disciplina da privacidade, prote-
gidos por lei, são fundamentais para a garantia da proteção dos
direitos de liberdade e privacidade do indivíduo, bem como do
livre desenvolvimento da personalidade da pessoa natural.
Assim, não é correto afirmar que os agentes de trata-
mento se encontram em completo desamparo sobre a forma
de atuação diante de uma operação de transferência interna-
cional de dados. Requisitos e recomendações óbvias e cor-
riqueiras, como a realização de due dilligence, utilização de
contratos bem estruturados e apoio na legislação e regulação
europeia diante de possíveis lacunas, continuam sendo váli-
dos e bem avaliados para a garantia da segurança.
VI. REFERÊNCIAS
ALMEIDA, Debora Gomes; SILVA, Rogério Oliveira da. Lei Geral De

Proteção De Dados (LGPD) e a Utilização da Computação Em Nuvem.
Revista Tecnologias em Projeção. v.12, n°2, ano 2021. Disponível em:
<http://revista.faculdadeprojecao.edu.br/index.php/Projecao4/article/
view/1792/1424>. Acesso em 27/06/2022.
543
BOJIKAN, Neusa Maria P. Nafta 2.0: Cloud Computing e Transferência

De Dados em destaque nas negociações comerciais. Panorama EUA
observatório político dos Estados Unidos. Instituto Nacional de Ciên-
cia e Tecnologia para estudos sobre os Estados Unidos – INCT-INEU.
vol. 4, nº 6, agosto de 2018. Disponível em: <https://www.opeu.org.
br/2018/08/27/nafta-2-0-cloud-computing-e-transferencia-de-dados-
-em-destaque-nas-negociacoes-comerciais/>. Acesso em 25/06/2022.
CABELLA, Daniela Monte Serrat; TEÓFILO, Carolina. Schrems II
e LGPD: reflexões acerca dos impactos da decisão da CJEU no
cenário brasileiro. Disponível em: <https://www.migalhas.com.br/
depeso/331982/schrems-ii-e-lgpd--reflexoes-acerca-dos-impactos-
-da-decisao-da-cjeu-no-cenario-brasileiro>. Acesso em 24/06/2022.
FERNANDES, Marco Aurélio de Souza; OLIVEIRA, Fernando
Gonçalves de; FERRAZ, Felipe Silva; SILVA, Daniel Alves da;
CANEDO, Edna Dias; SOUSA JR, Rafael Timóteo. Impactos da
Lei de Proteção de Dados (LGPD) brasileira no uso da Computa-
ção em Nuvem. Revista Ibérica de Sistemas e Tecnologias de
Informação. RISTI, N.º E42, 02/2021.
GLASMEYER, Rodrigo. Conheça as SCCs: cláusulas contra-
tuais para transferência internacional de dados na Europa.
Disponível em; <https://blconsultoriadigital.com.br/sccs-standard-
-contractual-clauses/>. Acesso em: 25/06/2022.
CHAVES, Luis Fernando Prado in: MALDONADO, Viviane Nó-
brega; ÓPICE BLUM, Renato. LGPD: Lei Geral de Proteção
de Dados Pessoais comentada. Coordenadores Viviane Nóbrega
Maldonado e Renato Ópice Blum. 3. ed. rev. atual. e ampl. São
Paulo; Thomson Reuters Brasil, 2021.
MELO, Iara Peixoto. Cloud computing, transferência interna-
cional de dados pessoais e os desafios da LGPD. 19 de junho de
2020. Disponível em: <https://chenut.online/br/cloud-computing-
-transferencia-internacional-de-dados-pessoais-e-os-desafios-da-l-
gpd/#_ftn2>. Acesso em 25/06/2022.
NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY.
NIST Special Publication 800-145. Setembro de 2021.
VALIANOR, Rodrigo. Cloud Computing: tudo que você precisa
saber sobre. Disponível em: <https://www.remessaonline.com.br/
blog/cloud-computing/>Acesso em 29/06/2022.
544
TUTELA COLETIVA DE DIREITO DOS

TRABALHADORES NA CONDIÇÃO DE TITULARES
DE DADOS PESSOAIS: ASPECTOS DOUTRINÁRIOS
E BREVE EXAME DE DECISÃO DO TRIBUNAL
REGIONAL DO TRABALHO DA 4ª REGIÃO
Newton de Lavra Pinto Moraes1
I. INTRODUÇÃO
A promulgação da Lei Federal Brasileira nº 13.790/2018,

a LGPD2 a Lei Geral de Proteção de Dados Pessoais, com vi-
gência plena em 2021, conferiu evidência aos titulares dos
dados pessoais, dentre os quais se inserem os trabalhadores,
em face da relevância dos dados pessoais, notadamente no
atual estágio da sociedade, que expõe a riscos direitos quali-
ficados como fundamentais, em escala coletiva.
Nessa esteira, a tutela, inclusive perante o Poder Ju-
diciário, em âmbito individual, revela-se menos eficiente do
que a tutela em âmbito coletivo, promovida por substitutos
processuais, entre os quais estão inseridos os sindicatos, que
ostentam legitimidade constitucional para tal mister.
1
Assessor do Ministério Público do RS. Professor nos cursos de pós-gra-
duação em Direito Digital e LLM em Proteção de Dados: LGPD &GDPR,
da Fundação do Ministério Público do RS – FMP. Consultor em projetos
de adequação à LGPD da DPOfficer brazil
2
BRASIL. LGPD. Disponível em: <https://www.planalto.gov.br/cci-
vil_03/_ato2015-2018/2018/lei/l13709.htm>, acessado em 08 de julho
de 2022, às 19h35min.
545
Tanto que o egrégio Tribunal Regional do Trabalho

acolheu tais argumentações reconhecendo obrigações de re-
clamada relativas ao adequado tratamento dos dados pessoais
dos trabalhadores, nos termos da LGPD, em diálogo como
a Constituição Federal, o Código de Proteção e Defesa dos
Consumidores – CDC, Lei da Ação Civil Pública e, claro, a
Consolidação das Leis Trabalhistas – CLT, diálogo esse obje-
to do presente texto.
II. OS DADOS PESSOAIS E OS TITULARES NO CON-

TEXTO SOCIAL E NORMATIVO
A relevância dos dados pessoais, no âmbito da socie-

dade do risco e da vigilância desperta atenção do legislador.
Nessa senda, a imperiosidade da proteção dos dados
pessoais dos trabalhadores, na condição de titulares descritos
como as pessoas naturais às quais “se referem os dados pes-
soais que são objeto de tratamento”, nos termos do inciso V
do art. 5º da referida norma3.
Tal fato é absolutamente relevante porquanto, até a
entrada em vigor de normas brasileiras, como a LGPD e in-
ternacionais, como o Regulamento Geral de Proteção de Da-
dos – o RGPD, da União Europeia, as pessoas naturais, ainda
3
Sobre esse conceito, Rony Vainzof leciona que “o Brasil adotou o con-
ceito expansionista de dado pessoal, pelo qual não somente a informa-
ção relativa a pessoa diretamente identificada estará protegida pela Lei,
mas também aquela informação que possa – tem o potencial de - tornar a
pessoa identificável” (VAINZOF, Rony, Lei Geral de Proteção de Dados
Comentada. Viviane Nóbrega Maldonado, Reato Ópice Blum, coordena-
dores. São Paulo. Thomsom Reuters, Brasil, 2019, p. 89).
546
que titulares dos dados pessoais, ocupavam posição submissa

aos objetivos e interesses dos controladores, assim entendi-
dos, nos termos do inciso VI, do artigo 5º, da LGPD, como as
pessoas naturais ou jurídicas, de direito público ou privado,
a quem “competem as decisões referentes ao tratamento de
dados pessoais”4.
Comentando o RGPD, Menezes Cordeiro refere que
“nos termos do disposto no artigo 4º, 1) por dados pessoais
entende-se “informação relativa a uma pessoa singular iden-
tificada ou identificável”5, observando que “o conceito de
dado pessoal, bem consolidado no espaço europeu e interna-
cional, decompõe-se em quatro elementos distintos e autono-
mizáveis: (i) qualquer informação; (ii) relativa a: (iii) pessoa
singular; e (iv) identificada ou identificável”6.
Nessa esteira, a relevância da proteção dos dados pessoais
e da privacidade em decorrência do momento histórico da socie-
dade contemporânea, com o exponencial aumento da vigilância7,
a ponto de os dados pessoais terem assumido, na seara econômica,
a posição de maior ativo do mercado, superior a comodities como
metais e, mesmo o petróleo, implica que os ordenamentos jurídi-
cos dediquem atenção à matéria a ponto de reconhecer a privaci-
dade e a proteção dos dados pessoais como direito fundamental,
assim expressamente referidos em textos como do Direito Comu-
nitário Europeu8, na Constituição Federal do Brasil, mediante a
4
Idem.
5
MENEZES CORDEIRO, Barreto, A. Direito da Proteção de Dados à
Luz do RGPD e Lei nº 58/2019. Editora Almedina, Portugal, p. 107.
6
Idem.
7
RODOTÀ, Stefano. A Vida na Sociedade da Vigilância, ed Renovar, 2018.
8
CARTA dos Direitos Fundamentais da União Europeia. Jornal Oficial
da União Europeia. 2016. Disponível em: <https://eur-lex.europa.eu/eli/
treaty/char_2016/oj>. Acesso em 27 jun. 2022.
547
promulgação da Emenda Constitucional 115/20229, e legislação

ordinária como na Lei Geral de Proteção de Dados- LGPD.
Atrelada a esse aumento exponencial da utilização e
do compartilhamento de dados pessoais, tem-se a proporcio-
nal exposição dos trabalhadores, na condição de titulares dos
dados, a riscos, danos e prejuízos, tanto de natureza material
quanto extrapatrimonial decorrentes incidentes de segurança e
de tratamentos indevidos e irregulares dos dados pessoais, jus-
tificando, pois, a aplicação à relação jurídica de trabalho, dos
instrumentos de tutela e de efetivação dos direitos dos titulares.
Com efeito são raras, para não se dizer inexistentes,
atividades, com fins econômicos, que não utilizem dados pes-
soais tais como nome, nome social, endereço, IP, número do
CPF, do RG, dentre outros, para o atingimento das finalidades,
a exemplo do comércio e a prestação de serviços e organiza-
ções da iniciativa privada, bem como a realização de políticas
públicas, a organização social e a prestação dos serviços pelo
Poder Público, e, ainda na seara trabalhista, para o recrutamen-
to e seleção de trabalhadores, além do próprio desenvolvimen-
to da relação jurídica entre empregadores e empregados, com
diversos compartilhamentos de dados pessoais com órgãos pú-
blicos, bem como o exercício de direitos em juízo.
A propósito, afirma Menezes Cordeiro, “toda infor-
mação” deve ser considerada “relevante para efeitos de apli-
cação do Direito da Proteção de Dados”, uma vez que não há,
como já decidido há várias décadas pelo Tribunal Constitu-
cional Alemão no célebre julgamento acerca da chamada
“Lei do Censo”9, suspensa, em 1982, em razão do “senti-
mento generalizado de insegurança, aliado à impressão de
9
BUNDESVERFASSUNGSGERICHT (BVerfG). Zitiervorschlag: BVer-
fG, Urteil des Ersten Senats vom 15. Dezember 1983 - 1 BvR 209/83
-, Rn. 1-215. Disponível em: <http://www.bverfg.de/e/rs19831215_1b-
vr020983.html>. Acesso em: 16 out. 2021.
548
que o governo poderia se valer dos dados obtidos – que, a

princípio, serviriam a finalidades estatísticas – para reali-
zar um controle capilar das atividades e da condição pes-
soal dos cidadãos”.
Nessa célebre decisão, a Corte tedesca adotara, tam-
bém, a autodeterminação informativa “para designar o direito
dos indivíduos de “decidirem por si próprios, quando e dentro
de quais limites seus dados pessoais podem ser utilizados”10, ou
seja, inexiste “informação pessoal não merecedora de proteção
jurídica, por mais insignificante ou fútil que possa parecer”.
Por seu turno, a LGPD, no Art. 2º, II, refere, de for-
ma expressa a autodeterminação como fundamento da “dis-
ciplina d proteção de dados pessoais”, reconhecida, tam-
bém, pelo Supremo Tribunal Federal, na Ação Declaratória
de Inconstitucionalidade nº 6387-DF, relatada pela Ministra
Rosa Weber, proposta pelo Conselho Federal da Ordem dos
Advogados do Brasil contra o inteiro teor de Medida Provisó-
ria que dispunha sobre “o compartilhamento de dados por em-
presas de telecomunicações prestadoras de Serviço Telefônico
Fixo Comutado e de Serviço Móvel Pessoal com a Fundação
Instituto Brasileiro de Geografia e Estatística, para fins de su-
porte à produção estatística oficial durante a situação de emer-
gência de saúde pública de importância internacional decor-
rente do coronavírus (Covid19)” de 6 de fevereiro de 2020”11.
10
DONEDA, Danilo, Da Privacidade à Proteção de Dados Pessoais.
Ed. RT, versão eletrônica, 2020.
11
MEDIDA CAUTELAR EM AÇÃO DIRETA DE INCONSTITUCIO-
NALIDADE. REFERENDO. MEDIDA PROVISÓRIA Nº 954/2020.
EMERGÊNCIA DE SAÚDE PÚBLICA DE IMPORTÂNCIA INTER-
NACIONAL DECORRENTE DO NOVO CORONAVÍRUS (CO-
VID-19). COMPARTILHAMENTO DE DADOS DOS USUÁRIOS DO
SERVIÇO TELEFÔNICO FIXO COMUTADO E DO SERVIÇO MÓ-
VEL PESSOAL, PELAS EMPRESAS PRESTADORAS, COM O INS-
549
Outrossim, “tanto se entende como sendo pessoal infor-

TITUTO BRASILEIRO DE GEOGRAFIA E ESTATÍSTICA. FUMUS
BONI JURIS. PERICULUM IN MORA. DEFERIMENTO. 1. Decorrên-
cias dos direitos da personalidade, o respeito à privacidade e à autode-
terminação informativa foram positivados, no art. 2º, I e II, da Lei nº
13.709/2018 (Lei Geral de Proteção de Dados Pessoais), como fundamen-
tos específicos da disciplina da proteção de dados pessoais. 2. Na medida
em que relacionados à identificação – efetiva ou potencial – de pessoa
natural, o tratamento e a manipulação de dados pessoais hão de observar
os limites delineados pelo âmbito de proteção das cláusulas constitucio-
nais assecuratórias da liberdade individual (art. 5º, caput), da privacidade
e do livre desenvolvimento da personalidade (art. 5º, X e XII), sob pena
de lesão a esses direitos. O compartilhamento, com ente público, de dados
pessoais custodiados por concessionária de serviço público há de assegu-
rar mecanismos de proteção e segurança desses dados. 3. O Regulamento
Sanitário Internacional (RSI 2005) adotado no âmbito da Organização
Mundial de Saúde exige, quando essencial o tratamento de dados pessoais
para a avaliação e o manejo de um risco para a saúde pública, a garantia
de que os dados pessoais manipulados sejam “adequados, relevantes e
não excessivos em relação a esse propósito” e “conservados apenas pelo
tempo necessário.” (artigo 45, § 2º, alíneas “b” e “d”). 4. Consideradas a
necessidade, a adequação e a proporcionalidade da medida, não emerge
da Medida Provisória nº 954/2020, nos moldes em que editada, interesse
público legítimo no compartilhamento dos dados pessoais dos usuários
dos serviços de telefonia. 5. Ao não definir apropriadamente como e para
que serão utilizados os dados coletados, a MP nº 954/2020 desatende a
garantia do devido processo legal (art. 5º, LIV, da CF), na dimensão subs-
tantiva, por não oferecer condições de avaliação quanto à sua adequação
e necessidade, assim entendidas como a compatibilidade do tratamento
com as finalidades informadas e sua limitação ao mínimo necessário para
alcançar suas finalidades. 6. Ao não apresentar mecanismo técnico ou
administrativo apto a proteger, de acessos não autorizados, vazamentos
acidentais ou utilização indevida, seja na transmissão, seja no tratamento,
o sigilo, a higidez e, quando o caso, o anonimato dos dados pessoais com-
partilhados, a MP nº 954/2020 descumpre as exigências que exsurgem
do texto constitucional no tocante à efetiva proteção dos direitos funda-
mentais dos brasileiros. 7. Mostra-se excessiva a conservação de dados
pessoais coletados, pelo ente público, por trinta dias após a decretação do
fim da situação de emergência de saúde pública, tempo manifestamente
550
mação relativa à vida privada como à vida profissional e social”12,

ou seja, “a identidade vai além do que a pessoa realmente é, en-
volvendo também atributos, fatos, comportamentos e padrões os
quais são usados como formas de comunicação automática”13,
como referiu Rony Vainzof, citando Lawrence Lessig14.
Vale referir, ainda, que os dados pessoais são ineren-
excedente ao estritamente necessário para o atendimento da sua finalidade
declarada. 8. Agrava a ausência de garantias de tratamento adequado e
seguro dos dados compartilhados a circunstância de que, embora apro-
vada, ainda não vigora a Lei Geral de Proteção de Dados Pessoais (Lei
nº 13.709/2018), definidora dos critérios para a responsabilização dos
agentes por eventuais danos ocorridos em virtude do tratamento de dados
pessoais. O fragilizado ambiente protetivo impõe cuidadoso escrutínio
sobre medidas como a implementada na MP nº 954/2020. 9. O cenário
de urgência decorrente da crise sanitária deflagrada pela pandemia glo-
bal da COVID-19 e a necessidade de formulação de políticas públicas
que demandam dados específicos para o desenho dos diversos quadros
de enfrentamento não podem ser invocadas como pretextos para justificar
investidas visando ao enfraquecimento de direitos e atropelo de garan-
tias fundamentais consagradas na Constituição. 10. Fumus boni juris e
periculum in mora demonstrados. Deferimento da medida cautelar para
suspender a eficácia da Medida Provisória nº 954/2020, a fim de prevenir
danos irreparáveis à intimidade e ao sigilo da vida privada de mais de uma
centena de milhão de usuários dos serviços de telefonia fixa e móvel. 11.
Medida cautelar referendada. Decisão por maioria. Inteiro teor disponível
em <https://redir.stf.jus.br/paginadorpub/paginador.jsp?docTP=TP&do-
cID=754357629>, acessado em 16 de outubro de 2020, às 22h45min.
12
Idem, p. 108.
13
Idem, p. 89.
14
“These attributes are known by others when they are communicated. In
real space, some are communicated automatically: for most, sex, skin co-
lor, height, age range, and whether you have a good smile get transmitted
automatically. Other attributes can’t be known unless they are revealed
either by you, or by someone else: your GPA in high school, your favorite
color, your social security number, your last purchase on Amazon, whe-
ther you’ve passed a bar exam” LESSIG, Lawrence. Code, version 2.0.
Nova York: Basic Books, 2006, p. 40, disponível em: <https://upload.
wikimedia.org/wikipedia/commons/f/fd/Code_v2.pdf>.
551
tes à própria personalidade jurídica, conforme o disposto no

art. 2º, do Código Civil brasileiro, no sentido de que “a per-
sonalidade civil da pessoa começa do nascimento com vida;
mas a lei põe a salvo, desde a concepção, os direitos do nas-
cituro”, permanecendo até a morte.
Como visto, ao se tratar dos dados pessoais, e, no
caso dos trabalhadores, tem-se intenso diálogo de fontes pro-
tetivas, porquanto relativo a direito fundamental de titulares
constitucionalmente protegidos, conforme o disposto no art.
6º, que consagra o trabalho como direito fundamental social,
com as garantias dos arts. 7º e 8º, combinados com o inciso
LXXIX, do art. 5º, que contempla, de modo expresso que
“é assegurado, nos termos da lei, o direito à proteção dos
dados pessoais, inclusive nos meios digitais”.
III. DA TUTELA COLETIVA
Na esteira da evolução tecnológica, as relações de mas-

sa implicaram a elevação substancial do risco das atividades
aos quais estão expostos não apenas indivíduos, mas coletivi-
dades, a exigir, também, a viabilização da tutela coletiva.
Segundo Beck15, em trecho que se adequa com pro-
priedade ao Brasil, na modernidade tardia, “a produção
social de riqueza é acompanhada sistematicamente pela
produção social de riscos. Consequentemente, aos pro-
blemas e conflitos distributivos da sociedade da escassez
sobrepõem-se os problemas e conflitos surgidos a partir
BECK, Urlich. Sociedade de Risco: rumo a uma outra modernidade.

15
Tradução de Sebastião Nascimento. São Paulo: Editora 34, 2013
552
da produção, definição e distribuição de riscos científico-

-tecnologicamente produzidos”.
Ainda, com respeito à coletivização dos riscos, não
mais se fala exclusivamente nos “outros” como vítimas ou
agentes do mal, porquanto, a partir de eventos como a explosão
da usina nuclear de Chernobyl, tornou-se perceptível a impos-
sibilidade de distanciamento dos riscos. Com efeito, até pode
ser possível, em hipóteses cada vez mais reduzidas, o afasta-
mento da miséria humana, mas, não dos perigos, por exemplo,
de incidente envolvendo a “poluição atômica”, ou por outros
incidentes ambientais e, notadamente no ambiente digital, in-
suscetível a muros ou barreiras físicas, com exposição perma-
nente a riscos, em uma dinâmica de perigo que não respeita
fronteiras, ou seja, não se trata mais exclusivamente de uma
utilização econômica da natureza para libertar as pessoas de
sujeições tradicionais, mas também e sobretudo de problemas
decorrentes do próprio desenvolvimento técnico-econômico.
A propósito tais riscos são experimentados pelos
trabalhadores em relação aos seus dados pessoais, que de-
correm do sucesso da própria modernidade com a proli-
feração de possibilidades tecnológicas e de escolhas dos
empregadores, na condição de controladores, e exercitam
potencialidades de otimização dos processos e agilização
do tratamento dos dados pessoais, com a coleta, o armaze-
namento, transferências internacionais, compartilhamento
eletrônico de volumes gigantescos de informações, dentre
outros tratamentos, como o caso da empresa que utilizava
currículos de candidatos a emprego como embalagem16.
16
Vide caso de currículos usados como embalagem. Disponível em: ht-
tps://www.oconsumerista.com.br/2020/03/lgpd-alem-do-digital-o-caso-
-dos-curriculos-usados-como-embalagem/ Acesso em: 27 jul. 2022.
553
É nessa toada que a tutela coletiva dos direitos, também

dos trabalhadores, resta inserida, porquanto os direitos dos tra-
balhadores, previstos no já referido art. 7º da Constituição Fe-
deral de 1988, na condição de fundamentais sociais, são, em
sua essência, indisponíveis, nos termos dos arts. 9º, 444 e 468
da CLT — Consolidação das Leis do Trabalho.
Nessa senda, na seara trabalhista percebe-se hipóte-
se de evidente homogeneidade de violação e/ou ameaças ao
direito fundamental dos trabalhadores em relação aos seus
dados pessoais, homogeneidade, todavia, que não se con-
funde com os direitos coletivos em sentido estrito, e difu-
sos, definidos pelo art. 81, parágrafo único, I e II, do CDC,
porquanto nitidamente individuais, configurando-se, pois,
divisíveis, com a plena identificação de cada trabalhador
lesado e/ou ameaçado, que poderia, por se tratar de direi-
to subjetivo, ensejar o manejo de reclamatórias individuais.
Porém, como bem compreende o direito norte-americano,
em doutrina citada por Arenhart17, compete avaliar a pre-
ponderância (ou a maior utilidade) do tratamento coletivo
desses direitos sobre o individual, tese albergada pelo TRT4
na demanda coletiva ajuizada por sindicato, analisada em
seguida, afastando, inclusive, a argumentação da demanda-
da relativa à inviabilidade da tutela, porquanto, “mais do
que uma simples permissão legal, a tutela coletiva desses
interesses também tem – tal como ocorre com a proteção dos
17
“the class action permits a lawsuit to be brought by or against large
numbers of individuals or organizations whose interests are sufficiently
related so that it is more efficient to adjudicate their rights or liabilities in a
single action than in a series of individual proceedings” (FRIEDENTHAL,
Jack H., KANE, Mary Kay, MILLER, Arthur R. Civil procedure. 4. ed.
St. Paul: Thomson/West, 2005. p. 757-758). O requisito é expresso nos
arts. 23(a)(2) e (b)(3) das Federal Rules of Civil Procedure. V. ainda,
sobre o tema, GIDI, Antonio. A class action como instrumento de tutela
coletiva dos direitos. São Paulo: Ed. RT, 2007. p. 79 e ss.
554
interesses coletivos e difusos – assento constitucional”18.

Também acerca dessa tutela coletiva de direitos, Are-
nhart reconheceu que “um dos grandes obstáculos para a
19
adequada tutela dos direitos de massa, em grande parte ge-

rado pela insuficiência da legislação atual (questão legisla-
tiva) e pela interpretação dada pela jurisprudência nacional
(questão cultural) a respeito da aplicação dessa ideia – o que,
diga-se, deságua em questões estruturais, já que tudo isso fa-
vorece a multiplicação de causas perante o Judiciário”, sendo
que a homogeneidade suscita a tutela coletiva, com o objetivo
de, como complementa Arenhart, “a) racionalizar o trabalho
judiciário, tornando desnecessário que cada indivíduo lesado
tivesse que buscar a tutela jurisdicional do Estado para si, em
demanda própria; b) tratar de forma isonômica os interesses
individuais de massa, diminuindo, na medida do possível, os
riscos de decisões conflitantes a respeito do mesmo tema”.
Com relação aos instrumentos dessa tutela, também
Arenhart20 analisou que “ (...) a normatização da tutela co-
letiva dos interesses individuais por meio do sistema forma-
do pela Lei da Ação Civil Pública (Lei 7.347/1985) e pelo
Código de Defesa do Consumidor – CDC (Lei 8.078/1990),
especialmente em razão do caráter aberto das regras e da per-
missão de adequação da tutela ao caso concreto, apresenta-se
como bastante razoável, não havendo impediente nesse plano
à tutela adequada dos interesses individuais”.
ARENHART, Sérgio Cruz. A Tutela Coletiva de Interesses Indivi-

18
duais - Ed. 2015. Revista dos Tribunais,. Disponível em: <https://pro-

view.thomsonreuters.com/launchapp/title/rt/monografias/103780046/v2/
document/103781056/anchor/a-103781056>. Acesso em 27 jul. 2022.
19
Arenhart, idem.
Idem.
20
555
Na mesma obra, referência ao art. 83 do CDC, no sen-

tido de que “para a tutela dos direitos e interesses ali previs-
tos, são cabíveis quaisquer espécies de demandas capazes de
propiciar a sua adequada e efetiva tutela”, em conjunto com
o art. 84, também do diploma consumerista, autorizando o
magistrado a “trabalhar para a consecução da tutela especí-
fica ou do resultado prático equivalente”21, o que, por certo,
abarca as reclamatórias trabalhistas, em âmbito coletivo.
Assim, parte significativa dos óbices indicados res-
tou superada em julgado do TRT da 4º Região22 nos autos do
PROCESSO nº 0020043-80.2021.5.04.0261 (ROT), Relatora,
Desembargadora Vania Maria Cunha Mattos, no qual restou re-
conhecida, de forma expressa tal tutela coletiva do direito fun-
damental dos trabalhadores à proteção dos seus dados pessoais,
nos termos da LGPD – Lei Geral de Proteção de Dados Pessoais.
Com efeito, a demanda fora manejada pelo Sindicato
dos Trabalhadores nas Indústrias da Alimentação de Montene-
gro, RS, para a tutela de direitos individuais homogêneos dos
trabalhadores substituídos, nos termos da base legal referida,
21
Nesse sentido, é a maciça doutrina (exemplificativamente, v. ALMEI-
DA, Gregório Assagra de. Manual das ações constitucionais. Belo Hori-
zonte: Del Rey, 2007. p. 37-38; NERY JR., Nelson. In: GRINOVER, Ada
Pellegrini et al. Código brasileiro de defesa do consumidor comentado
pelos autores do anteprojeto. 6. ed. Rio de Janeiro: Forense Universitária,
1999. p. 906 e ss.; SHIMURA, Sérgio. Tutela coletiva e sua efetividade.
São Paulo: Método, 2006. p. 40; VENTURI, Elton. Processo civil coleti-
vo. São Paulo: Malheiros, 2007, p. 17 e ss.; e também a principal orienta-
ção jurisprudencial (v.g., STJ, 2.ª T., REsp 1.018.214/PR, rel. Min. Cam-
pbell Marques, DJe 15.06.2009; STJ, 2.ª T., AgRg na MC 13.660/PR, rel.
Min. Castro Meira, DJe 17.03.2008; STJ, 2.ª T., REsp 956.837/SC, rel.
Min. Herman Benjamin, DJe 24.11.2008; STJ, 1.ª T., REsp 592.693/MT,
rel. Min. Teori Zavascki, DJU 27.08.2007, p. 190), citados por Arenhart.
22
Até o momento da conclusão do presente estudo não albergado pela
autoridade da coisa julgada material
556
porquanto possível de determinação de quem são os substituí-

dos lesados, e/ou ameaçados, em relação aos seus dados pes-
soais tratados pela reclamada, sendo divisíveis os prejuízos,
bem como da origem comum dos danos e ameaças a direitos
fundamentais, causados pela reclamada ao não conferir o trata-
mento adequado aos dados pessoais dos trabalhadores23.
Nessa senda, restou agasalhada a argumentação do
demandante, também acerca da legitimidade escorada no dis-
posto na Constituição Federal, artigo 8º, inciso III, no sentido
de que “ao sindicato cabe a defesa dos direitos e interesses
coletivos ou individuais da categoria, inclusive em questões
judiciais e administrativas”, porquanto no exercício do po-
der-dever instituído na CF/88 às entidades sindicais, autori-
zadas a atuar, inclusive em juízo, em defesa dos direitos e
interesses da categoria.
É o que se depreende do seguinte trecho do voto condutor:
“A legitimidade do sindicato na defesa dos
direitos e interesses coletivos ou individuais
da categoria está definida no artigo 8º, III, da
Constituição Federal:
Art. 8ّº É livre a associação profissional ou

sindical, observado o seguinte:
(...)
III- ao sindicato cabe a defesa dos direitos

e interesses coletivos ou individuais da ca-
tegoria, inclusive em questões judiciais ou
administrativas”;
Inadequação admitida nas próprias manifestações da reclamada, desde

23
a contestação até o manejo do recurso ordinário, acompanhadas do cum-

primento das determinações do juízo.
557
E seguiu a relatora, já analisando o feito em diálogo

com a LGPD:
“De acordo com o artigo 5º da Lei nº
13.709/2018 e em razão da relação de traba-
lho, o empregado é titular dos direitos previs-
tos na referida norma, atuando o empregador
como controlador e, portanto, destinatário
dos deveres garantidores da proteção aos da-
dos pessoais coletados e compartilhados.
(...)
O direito à proteção dos dados pessoais,

objeto de tratamento pelo empregador, tem
natureza coletiva, na forma do artigo 81 do
Código de Defesa do Consumidor, o que
possibilita a atuação da entidade sindical
para a sua defesa”.
Sobre a matéria, também o Ministério Público do Tra-

balho, por intermédio da Procuradora Regional do Trabalho,
Aline Maria Homrich Schneider Conzatti, inclusive com re-
ferência no voto, opinou:
“(...) até mesmo porque a entidade sindi-
cal possui legitimidade para ambas (artigo
5º, inciso V, da Lei nº 7.347 e artigo 82, IV
da Lei nº 8.078) e o procedimento pode ser
compatibilizado, o que de fato foi, inclusi-
ve com a publicação dos editais previstos no
CDC (artigo 94). Conclui-se, nesses termos,
estar-se diante de instrumento processual
adequado para a tutela dos interesses coleti-
vos dos trabalhadores”.
E arrematou a procuradora, mencionando precedente

do Tribunal Superior do Trabalho - TST:
558
“Ademais, o posicionamento pacificado no

TST, na linha do Supremo Tribunal Federal,
é o de que as entidades sindicais profissionais
detêm amplo espectro de atuação na defesa dos
interesses das respectivas categorias, possuin-
do legitimidade para atuar como substitutas
em processos cujas controvérsias recaiam so-
bre direitos coletivos, individuais homogêneos
ou, ainda, subjetivos específicos, não havendo
falar em necessidade de autorização expressa
ou de juntada de rol de substituídos, como con-
dição de procedibilidade da reclamação (TST,
Ag-AIRR – 11118-26.2014.5.18..0011, Rel.
Min. Alexandre de Souza Agra Belmonte, j.
em 03-04-2019, 3ª Turma, Data de publicação:
DEJT 04/04/2019).
Conforme exposto, a legitimação do sindica-

to é ampla em favor da categoria profissional.
Descabe, portanto, estabelecer restrição à
prerrogativa sindical estabelecida na CRFB.”
Nessa esteira, pode-se agregar o seguinte julgado do STF:
PROCESSO CIVIL. SINDICATO. ART. 8º, III

DA CONSTITUIÇÃO FEDERAL. LEGITI-
MIDADE. SUBSTITUIÇÃO PROCESSUAL.
DEFESA DE DIREITOS E INTERESSES
COLETIVOS OU INDIVIDUAIS. RECURSO
CONHECIDO E PROVIDO. O artigo 8º, III da
Constituição Federal estabelece a legitimidade
extraordinária dos sindicatos para defender em
juízo os direitos e interesses coletivos ou indivi-
duais dos integrantes da categoria que represen-
tam. Essa legitimidade extraordinária é ampla,
abrangendo a liquidação e a execução dos crédi-
tos reconhecidos aos trabalhadores. Por se tratar
559
de típica hipótese de substituição processual, é

desnecessária qualquer autorização dos subs-
tituídos. Recurso conhecido e provido. (STF,
Seção Plenária, RE/210029, Min. Redator do
acórdão Joaquim Barbosa, DATA DE PUBLI-
CAÇÃO DJ 17/08/2007 - ATA Nº 37/2007).
Portanto, incontestável a pertinência subjetiva de enti-

dade sindical para a defesa dos direitos dos titulares de dados
pessoais, na condição de trabalhadores substituídos, sendo
que o cancelamento da Súmula nº. 310 do TST, nem mesmo a
apresentação do rol de substituídos é necessária para o ajuiza-
mento da ação e, com muito mais razão, não há necessidade
de que os substituídos sejam filiados ao Sindicato, exatamen-
te pela legitimidade constitucionalmente assegurada no já re-
ferido artigo 8º, inciso III, da Constituição Federal.
A propósito, quanto à legislação de rito, infracons-
titucional, tem-se por atraída à espécie o também já men-
cionado artigo 5º da Lei nº 7.347, de 24 de julho de 1985,
que trata da Ação Civil Pública, e menciona que a ação
principal e a cautelar poderão ser propostas pelo Ministério
Público, pela União, pelos Estados e Municípios. Poderão
também ser propostas por autarquia, empresa pública,
fundação, sociedade de economia mista ou por associação
que: “esteja constituída há pelo menos um ano, nos termos
da lei civil; - inclua entre suas finalidades institucionais a
proteção ao meio ambiente, ao consumidor, à ordem eco-
nômica, à livre concorrência, ou ao patrimônio artístico,
estético, histórico, turístico e paisagístico”.
Como se vê, basta que a entidade associativa inclua
entre suas finalidades institucionais a defesa de qualquer dos
temas elencados no inciso V da norma acima transcrita para
que a sua legitimidade para propor à Ação Civil Pública este-
ja caracterizada.
560
De outra parte, é inquestionável que a Ação Civil

Pública constitui meio processual idôneo para veicular
postulação de prevenção, mediante a tutela inibitória, e a
reparação, no âmbito ressarcitório, de danos causados a
interesse coletivo, dentro os quais os individuais homogê-
neos, em face do que dispõe o artigo 1º da Lei n.º 7.347/85,
no sentido de que se regem “pelas disposições desta Lei,
sem prejuízo da ação popular, as ações de responsabilida-
de por danos causados: - ao meio-ambiente; - ao consumi-
dor; - a bens e direitos de valor artístico, estético, históri-
co, turístico e paisagístico; IV - a qualquer outro interesse
difuso ou coletivo; V - por infração da ordem econômica”,
sendo que no inciso IV deve ser lido em consonância com
o artigo 110 da Lei n.º 8.078/90.
Por seu turno a Lei Geral de Proteção de Dados -
LGPD - Lei Federal nº 13.709/2018, no art. 22 incentiva a
tutela coletiva dos direitos dos titulares, a saber:
“Art. 22. A defesa dos interesses e dos direi-

tos dos titulares de dados poderá ser exer-
cida em juízo, individual ou coletivamente,
na forma do disposto na legislação pertinen-
te, acerca dos instrumentos de tutela indivi-
dual e coletiva.
Em síntese, restou reafirmada pelo TRT da 4ª Re-

gião a legitimidade do sindicato autor para a propositura
de ação civil pública, com suporte legal nos arts. 5º e 21 da
Lei n.º 7.347/85, combinados com os arts. 81, II, e 82, IV,
da Lei n.º 8-078/90, bem como pelo art. 22 da LGPD, na
tutela dos direitos individuais homogêneos dos trabalha-
dores substituídos.DAS OBRIGAÇÕES DOS EMIIIIiiII
561
IV. PREGADORES EM RELAÇÃO AOS DIREITOS

DOS EMPREGADOS NA CONDIÇÃO DE TITULARES
DE DADOS PESSOAIS:
Também com base no estudo dos autos do referido

Recurso Ordinário nº 00020043-80-2021.5.04.0261, do TRT
da 4ª Região, restaram cristalizadas as obrigações dos empre-
gadores na condição de controladores dos dados pessoais dos
empregados, nos termos da LGPD.
É o que se depreende da leitura do voto condutor do
acórdão, rebatendo as alegações da reclamada de “exclusão
da condenação por não haver relato de qualquer dano ou “va-
zamento de dados” capaz de configurar o pagamento de inde-
nização (...)”, no seguinte sentido:
“A norma visa a assegurar os direitos fun-
damentais de liberdade e de privacidade e o
livre desenvolvimento da personalidade da
pessoa natural, o que repercute diretamente
no âmbito da relação de trabalho, por ser o
empregador detentor (realiza o tratamento)
de diversos dados pessoais de seus emprega-
dos, o que impõe o dever de proteção com
critérios técnicos definidos expressamente
na norma, sob pena de responsabilidade civil
pelos danos causados”.
E segue o voto, consignando a pertinência da tutela

em caráter inibitório, ou seja, como já consignado, não ser
imperiosa a demonstração de danos ocorridos, bem como en-
caminha relevante raciocínio sobre a própria Autoridade Na-
cional de Proteção de Dados - ANPD:
562
“Em contraposição à equivocada afirmação

do recurso, a condenação à obrigação de fa-
zer independe da comprovação do dano por
ser pretensão de natureza distinta.
O dano configura pressuposto na área da res-

ponsabilidade civil e eventual condenação
ao pagamento de indenização (obrigação de
pagar), sem que haja necessariamente con-
denação ao cumprimento do dever legal ou
contratual (obrigação de fazer).
A incompleta compreensão sobre institutos

jurídicos fundamentais no Direito das Obri-
gações reflete na tese recursal distante da
melhor técnica jurídica que pressupõe haver
tão-somente para garantia de obrigações de
dar (indenizações), com exclusão do Poder
Judiciário de tutela inibitória direcionada ao
cumprimento de obrigações de fazer.
A atribuição da fiscalização a Órgão do Po-

der Executivo se insere no âmbito do poder
de polícia da Administração Pública, sem
qualquer efeito sobre a esfera judicial.
A tese da ré, de ter havido violação de com-

petência da ANDP (sic), colide com precei-
to constitucional basilar de qualquer Estado
Democrático de Direito, previsto no artigo
5º, XXXV, da Constituição Federal: XXXV-
a lei não excluirá da apreciação do Poder Ju-
diciário lesão ou ameaça a direito”.
Trata-se, pois, de relevante julgado, pelos incisivos

termos adotados, em consonância com o entendimento espo-
sado pelo Ministério Público do Trabalho.
563
V. INDICAÇÃO DE ENCARREGADO PELO TRATA-

MENTO DE DADOS PESSOAIS
Também no referido Acórdão, há menção expressa à

obrigação da empregadora da indicação de encarregado pelo tra-
tamento de dados pessoais, nos moldes do artigo 41 da LGPD.
Isso porque, segundo a relatora, “a ausência do en-
carregado, indicado de forma pública, representa obstáculo à
comunicação e transparência sobre o tratamento implemen-
tado pelo controlador”, bem como “concerne ao empregador
o dever de estabelecer nos termos da lei, a regular comuni-
cação entre aquele que realiza a operação de dados pessoais,
titulares e o órgão fiscalizador, fundamento suficiente para a
condenação imposta”.
VI. QUANTO À SEGURANÇA DOS DADOS PESSOAIS

DOS TRABALHADORES
Há, também no paradigmático acórdão referência ex-

pressa à “adoção de medidas técnicas e administrativas” pela
reclamada, na condição de controladora de dados pessoais dos
trabalhadores, reconhecendo tratar-se de obrigação expressa
para que “haja proteção dos dados pessoais de acessos não au-
torizados e de situações acidentais ou de tratamento inadequa-
do ou ilícito, com base nos arts. 6º, 46 e 47”, da LGPD, o que
foi complementado no sentido de que “em contraposição às
alegações da recorrente, a ausência de padrões mínimos dessas
medidas não a dispensa do dever legal sobre a segurança e sigi-
lo dos dados pessoais de seus empregados, porque a indicação
e comprovação de medidas técnicas e administrativas devem
estar direcionadas ao cumprimento destes objetivos”.
Consolidada, pois, a obrigação dos empregadores na
564
condição de controladores dos dados pessoais dos trabalha-

dores, também em relevância às medidas de segurança das
informações.
VII. CONCLUSÃO
Pelo fio do exposto, tem-se que o sistema jurídico

brasileiro, seja normativo, seja pelo Judiciário, reconheceu,
ainda que em Acórdão que, como já dito, no momento da re-
dação do presente artigo ainda não havia transitado em julga-
do, a pertinência da tutela coletiva dos direitos dos trabalha-
dores, na condição de titulares de dados pessoais, em face de
empregadores, reconhecidos como controladores, porquanto
se trata de direito fundamental individual a ser densificado,
inclusive em sede coletiva, como direito individual homogê-
neo, atraindo a tutela inibitória para a prevenção de danos,
porquanto não é imperiosa a ocorrência prévia de incidente
de segurança envolvendo dados pessoais do qual decorre de
prejuízo aos obreiros, para que seja promovida a tutela, me-
diante manifestação do Poder Judiciário.
565
RELATÓRIO DE IMPACTO À PROTEÇÃO

DE DADOS PESSOAIS NOS TRIBUNAIS
Oscar Valente Cardoso1
I. INTRODUÇÃO
O relatório de impacto à proteção de dados pessoais

consiste na documentação que deve indicar as atividades de
tratamentos de determinados dados pessoais e as medidas,
salvaguardas e mecanismos de mitigação de risco adotados
para o desempenho seguro dessas operações.
É de responsabilidade do controlador, mas deve ser

elaborado com a maior participação possível das pessoas
envolvidas nas operações de tratamentos de dados pessoais.
Os tribunais brasileiros, como controladores de dados

pessoais, também devem elaborar o relatório de impacto. Po-
rém, em quais situações isso deve ocorrer?
O artigo analisa a necessidade de elaboração do

relatório de impacto pelos tribunais brasileiros, a partir
da análise da definição legal e do conteúdo mínimo desse
documento, de sua regulamentação no GDPR e na norma
ISO/IEC 29134/2017.
1
Doutor em Direito (UFRGS), Professor, Juiz Federal, Coordenador do Comitê
Gestor de Proteção de Dados do Tribunal Regional Federal da 4ª Região, Dire-
tor-Geral da Escola da Magistratura Federal do Rio Grande do Sul.
566
II. RELATÓRIO DE IMPACTO: CONCEITO
O inciso XVII do art. 5º da Lei Geral de Proteção de Da-

dos traz o conceito de relatório de impacto à proteção de dados
pessoais: “documentação do controlador que contém a descrição
dos processos de tratamento de dados pessoais que podem gerar
riscos às liberdades civis e aos direitos fundamentais, bem como
medidas, salvaguardas e mecanismos de mitigação de risco”.
Essa definição possui uma variação no art. 55-J, XIII,

que, ao descrever as atribuições da ANPD, prevê a de “editar
regulamentos e procedimentos sobre (...) relatórios de impac-
to à proteção de dados pessoais para os casos em que o trata-
mento representar alto risco à garantia dos princípios gerais
de proteção de dados pessoais previstos nesta Lei”.
O agente de tratamento tem os deveres de conhecer e

de explicar como funciona a sua estrutura de tratamento de
dados, de identificar os pontos de vulnerabilidade e de adotar
as medidas técnicas adequadas para prevenir incidentes. Para
esse fim, deve elaborar o documento denominado de relatório
de impacto à proteção de dados pessoais (RIPD).
O relatório de impacto é um documento essencial para as

organizações que realizam o tratamento de dados, porque descre-
ve todo o seu processamento e o ciclo do tratamento. Em resumo,
é a documentação pelo controlador da descrição dos processos
de tratamento de dados pessoais que possam gerar riscos às li-
berdades civis e aos direitos fundamentais, bem como medidas,
salvaguardas e mecanismos de mitigação de risco. Ainda, contém
a avaliação de vulnerabilidades nos processos de tratamento, o
plano de ação para a mitigação dos riscos encontrados e as conse-
quências das atividades de tratamento de dados (não apenas paras
o titulares, mas para todos que puderem ser afetados por elas).
567
A elaboração e a aplicação do RIPD envolve ativi-

dades de governança, segurança da informação, definição de
atribuições internas, entre outras.
Deve ser um documento prévio às operações de trata-

mento de dados pessoais, considerando o seu objeto de des-
crição das ações de mitigação dos riscos, o que não impede a
sua elaboração posterior, por se tratar da documentação des-
sas medidas.
A legitimidade ativa para a elaboração do relatório de

impacto é apenas do controlador, ou seja, de quem tem o efe-
tivo poder de decisão sobre as atividades de tratamento, logo,
não se exige do operador a produção do documento (arts. 5º,
XVII, 10, § 3º, e 38 da LGPD).
III. Relatório de Impacto: Conteúdo Mínimo
Em complemento ao conceito previsto no art. 5º, o art.

38, parágrafo único, da LGPD prevê que “(...) o relatório de-
verá conter, no mínimo, a descrição dos tipos de dados cole-
tados, a metodologia utilizada para a coleta e para a garantia
da segurança das informações e a análise do controlador com
relação a medidas, salvaguardas e mecanismos de mitigação
de risco adotados”.
Portanto, com fundamento no inciso XVII do art. 5º,

no parágrafo único do art. 38 e no art. 55-J, XIII, da LGPD, o
RIPD deve ter o seguinte conteúdo mínimo:
(a) a descrição dos tipos de dados coletados: o relató-

rio deve compreender não apenas a classificação existente na
própria LGPD, que subdivide os dados pessoais em sensíveis
568
ou não (art. 5º, I e II), mas também as diferenciações realiza-

das pelo próprio controlador no desempenho das operações
de tratamento, de acordo com a origem e a titularidade dos
dados (como por exemplo, dados pessoais de empregados,
de consumidores e de prestadores de serviços, dados pessoais
tratados na atividade-meio e na atividade-fim) entre outras;
(b) a descrição das atividades de tratamento de dados

pessoais que tiverem o potencial de causar riscos (ou riscos
elevados) às liberdades civis, aos direitos fundamentais dos
titulares e aos princípios de proteção de dados pessoais: desse
modo, o relatório de impacto busca averiguar o grau de expo-
sição dos dados pessoais a incidentes e deve conter a extensão
das operações realizadas sobre eles (tais como o volume de
dados tratados, a quantidade de titulares, a extensão geográfi-
ca do tratamento, a frequência da realização das atividades, o
período de tratamento e eventual prazo mínimo derivado do
dever de guarda, entre outras). O objeto mínimo de descrição
do relatório de impacto é indicado em mais de um dispositivo
da LGPD, o que dificulta a compreensão de sua extensão.
Outro ponto que causa dificuldade diz respeito à extensão da
expressão “direitos fundamentais”, especialmente a partir da
inclusão da proteção de dados pessoais como um direito fun-
damental no inciso LXXIX do art. 5º da Constituição (pela
EC nº 115/2022). A partir disso, deve-se considerar que qual-
quer atividade de tratamento de dados pessoais diz respeito a
um direito fundamental, ou, por se tratar de uma norma cons-
titucional de eficácia limitada (que assegura o direto “nos ter-
mos da lei”), deve compreender apenas os direitos fundamen-
tais afetados pelo tratamento de dados pessoais? Esta é uma
questão a ser levada em conta na elaboração do RIPD e que
afetará diretamente a complexidade da tarefa;
(c) a metodologia utilizada para a coleta e para a ga-

rantia da segurança das informações: a LGPD não impõe uma
metodologia adequada para a coleta de dados e as medidas uti-
569
lizadas para garantir a segurança das operações de tratamento,

mas exige que ela seja claramente definida pelo controlador na
elaboração do relatório de impacto. Nesse sentido, o Guia de
Boas Práticas para Implementação da LGPD na Administra-
ção Pública Federal sugere a especificação da fonte dos dados
(o próprio titular ou o uso compartilhado de outro agente, o
preenchimento de formulário ou aplicativo, em meio físico ou
digital, de modo automatizado ou não, entre outros aspectos),
das demais atividades que serão realizadas a partir da coleta
(armazenamento ou não, consulta, acesso, aplicação, entre ou-
tras até a eliminação, ou seja, observado o ciclo de vida do
tratamento dos dados pessoais), de eventual compartilhamento
dos dados pessoais com outros agentes, dos operadores que
realizarão as atividades de tratamento, as tecnologias utilizadas
para as atividades de tratamento e para a segurança da infor-
mação. Além disso, a própria elaboração do RIPD pressupõe
a definição prévia de um método. Por exemplo, a autoridade
nacional de proteção de dados do Reino Unido (ICO) define as
seguintes etapas para a metodologia de elaboração de um re-
latório de impacto (DPIA): identificação da necessidade, des-
crição das atividades de tratamento, realização de um processo
de consulta (interna e externa), avaliação da necessidade e da
proporcionalidade do documento, identificação e avaliação dos
riscos, identificação das medidas de mitigação dos riscos, assi-
naturas e registro dos resultados, incorporação dos resultados
ao documento e, por fim, a revisão constante;
(d) as medidas, salvaguardas e mecanismos de miti-

gação dos riscos incidentes sobre as atividades de tratamento:
Além do conteúdo mínimo previsto na LGPD, o rela-

tório de impacto também deve conter2: o relatório de impacto
2
Entre as fontes utilizadas para definir o conteúdo mínimo do RIPD, des-
taca-se: BRASIL. Lei Geral de Proteção de Dados (LGPD): Guia de boas
práticas para implementação na Administração Pública Federal. Disponí-
vel em: <https://www.gov.br/governodigital/pt-br/seguranca-e-protecao-
-de-dados/guias/guia_lgpd.pdf>. Acesso em 02 jul. 2022.
570
deve indicar, genericamente, as medidas adotadas para evitar

que os riscos se concretizem. Porém, antes de identificar as
medidas, é necessário que o relatório identifique os riscos,
que consistem nas probabilidades de um agente de ameaça
tirar proveito de uma vulnerabilidade e, com isso, causar im-
pacto nas atividades da organização (neste caso, do controla-
dor)3. De forma mais genérica, o risco é conceituado no item
3.61 da norma ISO/IEC 27000 como o “efeito da incerteza
nos objetivos”. Portanto, os riscos podem ser individuais ou
coletivos e ocorrem quando um terceiro (agente de ameaça)
tenta acessar um informações (inseridas em um meio físico
ou digital) por meio da exploração de uma vulnerabilidade
existente. Desse modo, o RIPD pressupõe a elaboração de
um mapeamento de riscos, com a identificação dos agentes
de ameaça e as vulnerabilidades da organização, bem como
a avaliação dos impactos. A análise de risco é definida pelo
item 3.63 da norma ISO/IEC 27000 como o “processo para
compreender a natureza do risco e determinar o nível de ris-
co”. Em suma, trata-se da identificação, análise e avaliação
de riscos, com o objetivo de esclarecer quais são as ameaças
relevantes para os processos e identificar os riscos associa-
dos a esses processos. A avaliação de riscos deve observar a
norma ISO/IEC 27002 e possui quatro objetivos principais:
identificar ativos de informação e seu valor, identificar as
ameaças e vulnerabilidades, determinar os riscos que levem
à concretização das ameaças e interrompam o processo ope-
racional e, por fim, mensurar a proporção entre os custos das
medida de segurança e os custos de um incidente. Quanto
maior for a criticidade ou a necessidade de proteção dos da-
dos pessoais, maior deve ser a preocupação com a seguran-
ça da informação e da adoção de medidas para minimizar o
comprometimento de eventual incidente (como o acesso não
3
Nesse sentido: HINTZBERGEN, Jule; HINTZBERGEN, Kees; SMULDERS,
André; BAARS, Hans; Fundamentos de segurança da informação: com base na
ISO 27001 e na ISO 27002. Rio de Janeiro: Brasport, 2018, p. 37.
571
autorizado, o vazamento e até mesmo a eliminação acidental

de dados ou de bancos de dados). Ainda, devem ser observa-
das a norma ISO/IEC 27005, que contém as diretrizes para o
processo de gestão de riscos e de segurança da informação, e
a norma ISO/IEC 27000, que regulamenta o gerenciamento
de riscos. A finalidade do RIPD (identificação e mitigação de
riscos) é tão importante quanto a definição de seu objeto (pro-
teção de liberdades civis, direitos fundamentais dos titulares
e aos princípios de proteção de dados pessoais). Não se trata
de qualquer risco sobre todas as operações realizadas pelo
agente, mas apenas aquelas referidas no item ‘b’.
(e) a identificação dos agentes de tratamento (contro-

lador e operador) que participam das atividades de tratamento
de dados pessoais e de seu encarregado: entre as consequên-
cias do princípio da transparência no tratamento de dados
pessoais (art. 6º, VI, da LGPD) está a divulgação adequada
dessas informações, para que os titulares e a ANPD tenham o
conhecimento inequívoco, por meio de acesso simplificado,
das pessoas envolvidas nas operações de tratamento;
(f) a identificação dos motivos de elaboração do RIPD

pelo controlador: igualmente como consequência do princí-
pio da transparência, o relatório deve indicar especificamente
os motivos de sua existência e da documentação de determi-
nadas atividades, isto é, quais operações e espécies de dados
tratados levaram à necessidade da elaboração do relatório de
impacto. Por exemplo, o Guia de Boas Práticas para Imple-
mentação da LGPD na Administração Pública Federal lista
situações em que o RIPD é considerada obrigatória, que com-
preenderem o uso de tecnologias e novos serviços ou iniciati-
vas, ou dados de geolocalização, ou dados pessoais sensíveis,
ou dados pessoais de crianças e adolescentes, ou para a for-
mação de perfil comportamental, ou para a tomada de deci-
sões automatizadas que possam ter efeitos legais, ou ativida-
des de tratamento que possam causar danos aos titulares em
572
decorrência de eventual vazamento, ou baseados no legítimo

interesse do controlador, ou quando derivar de modificações
de normas legais ou infralegais, ou quando ocorrer a modifi-
cação de estrutura organizacional decorrente de reforma ad-
ministrativa, ou realizados para fins exclusivos de segurança
pública, defesa nacional, segurança do Estado, ou atividades
de investigação e repressão de infrações penais. Portanto, há
a necessidade de documentação das atividades no relatório de
impacto em virtude da natureza dos dados tratados, da finali-
dade do tratamento ou da base legal indicada;
(g) a finalidade das atividades de tratamento: o re-

latório de impacto também pode documentar a finalidade
de cada operação realizada (ou de cada relação com os ti-
tulares, ou conforme a coleta, entre outros critérios), a ne-
cessidade da coleta dos dados pessoais e a realização de
atividades compatíveis, especialmente para demonstrar o
cumprimento dos princípios da finalidade, da adequação e
da necessidade (ou da minimização dos dados), previstos no
art. 6º, I a III, da LGPD;
(h) a identificação das pessoas consultadas e partici-

pantes da elaboração do documento: apesar de ser um dever
legal do controlador, o relatório de impacto não deve ser ela-
borado isoladamente por ele (ou por apenas uma pessoa por
ele indicada), mas pela maior quantidade possível de pessoas
e setores do controlador envolvidos nas atividades de trata-
mento de dados pessoais documentadas. Em consequência,
é importante identificar quem efetivamente foi consultado e
participou da produção (e de revisões e alterações) do RIPD,
o que igualmente efetiva o princípio da transparência no tra-
tamento de dados pessoais (art. 6º, VI, da LGPD);
(i) a demonstração da conformidade legal: o relatório

de impacto também deve ser um apto a comprovar que a sua
elaboração e o seu conteúdo cumprem as exigências legais,
573
especialmente quando for requerido pela ANPD e na sua uti-

lização para outros fins;
(j) e a definição de revisões: o próprio relatório de im-

pacto deve prever a necessidade de sua revisão e, preferen-
cialmente, a periodicidade em que isso deve ocorrer (ou seja,
por meio de limites temporais) ou os fatos que podem levar
a modificações (como a ocorrência de um incidente, a modi-
ficação de ferramentas ou sistemas de tratamento de dados,
mudanças sobre os dados coletados ou o seu volume etc.).
IV. DIREITO COMPARADO E REGULAÇÃO TÉCNICA
A regulação do RIPD na LGPD inspirou-se no docu-

mento denominado DPIA (Data Privacy Impact Assessment),
ou avaliação de impacto da privacidade, regulado especifica-
mente no art. 35 do GDPR na União Europeia e, sob o aspec-
to técnico, é regulado de modo detalhado pela norma ISO/
IEC 29134/2017.
No conceito da ISO/IEC 29134/2017, a avaliação de impacto

da privacidade é um instrumento que tem dois objetivos principais:
(a) avaliar os potenciais impactos causados sobre a

privacidade por um processo, um sistema de informação, um
programa, um módulo de software, um dispositivo ou outra
ferramenta utilizada para processar informações de identifi-
cação pessoal;
(b) e desenvolver ações (em conjunto com as suas par-

tes interessadas ou stakeholders) para o tratamento de riscos.
De forma semelhante, o art. 35 do GDPR da União

Europeia prevê que o DPIA é obrigatório quando o agente
574
desenvolver determinado tipo de tratamento (com o uso de

novas tecnologias e tendo em conta a sua natureza, âmbito,
contexto e finalidades), que puder causar um risco elevado
para os direitos e liberdades dos titulares, e deve conter a ava-
liação de impacto dessas operações de tratamento sobre os
dados pessoais.
O 35 do GDPR regula a avaliação de impacto sobre a

proteção de dados a partir dos seguintes parâmetros: “Quando
um certo tipo de tratamento, em particular que utilize novas
tecnologias e tendo em conta a sua natureza, âmbito, contexto
e finalidades, for suscetível de implicar um elevado risco para
os direitos e liberdades das pessoas singulares, o responsável
pelo tratamento procede, antes de iniciar o tratamento, a uma
avaliação de impacto das operações de tratamento previstas
sobre a proteção de dados pessoais. Se um conjunto de opera-
ções de tratamento que apresentar riscos elevados semelhan-
tes, pode ser analisado numa única avaliação” (art. 35.1).
O conteúdo mínimo do DPIA é descrito no parágrafo

7 do art. 35 do GDPR:
(a) a descrição das operações de tratamento e de suas

finalidades do tratamento (e, se for o caso, dos tratamentos
realizados com base no legítimo interesse);
(b) a avaliação da necessidade e da proporcionalidade

das operações de tratamento em relação às suas finalidades;
(c) a avaliação dos riscos para os direitos e liberdades

dos titulares dos dados pessoais;
(d) e as medidas previstas para enfrentar os riscos, in-

cluindo salvaguardas, medidas de segurança e mecanismos
para garantir a proteção dos dados pessoais e demonstrar o
cumprimento das normas do GDPR.
575
Constata-se, assim, que o conteúdo mínimo previsto

na Lei Geral de Proteção de Dados brasileira corresponde ao
constante da norma ISO/IEC 29134/2017 e do GDPR.
V. RELATÓRIO DE IMPACTO NOS TRIBUNAIS
Os tribunais, ao ser enquadrados como controladores

de dados pessoais, possuem o dever legal de elaboração do
relatório de impacto.
A Resolução nº 363/2021 do Conselho Nacional de

Justiça (que contém medidas para o processo de adequação
dos tribunais à LGPD) não prevê um dever geral de elabora-
ção relatório de impacto, mas apenas a sua elaboração espe-
cífica como condição prévia à assinatura de contratos ou con-
vênios administrativos que autorizarem o compartilhamento
de dados pessoais (art. 1º, X, ‘d’).
Contudo, tendo em vista que a LGPD se aplica generi-

camente a todas as atividades de tratamento de dados realizadas
por pessoas naturais ou jurídicas, de direito público ou privado
(exceto nas hipóteses previstas no art. 4º), os tribunais também
se vinculam às normas sobre o RIPD e, em consequência:
(a) devem elaborar o relatório de impacto nas hipóte-

ses previstas em lei como um dever (ou seja, para o tratamen-
to de dados pessoais que possam gerar riscos às liberdades
civis e aos direitos fundamentais ou aos princípios de prote-
ção de dados pessoais);
(b) e podem elaborar o relatório de impacto nas de-

mais hipóteses, de acordo com a sua política interna de segu-
rança da informação.
576
O RIPD dos tribunais deve observar o conteúdo míni-

mo descrito acima e observadas as normas específicas aplicá-
veis a Administração Pública e também eventuais regulamen-
tações próprias do Judiciário.
Entre elas, destaca-se a necessidade de que o relatório

de impacto dos tribunais também poderá conter as ativida-
des de investigação e repressão de infrações penais, isto é, os
dados pessoais tratados em inquéritos policiais, ações penais
e em outros processos de natureza criminal, considerando a
possibilidade dessa documentação ser solicitada pela ANPD,
nos termos do § 3º do art. 4º da LGPD.
O benchmarking (isto é, a análise e a comparação de

práticas adotadas por outros controladores) com os relatórios
de impactos já elaborados por outras pessoas jurídicas de di-
reito público também pode auxiliar, por permitir a verificação
e a incorporação de documentações prévias elaboradas por
outros entes públicos.
VI. CONCLUSÕES
A LGPD define genericamente as hipóteses de ela-

boração obrigatória do relatório de impacto (tratamento de
dados pessoais com risco às liberdades civis e aos direitos
fundamentais) e atribui à Autoridade Nacional de Proteção
de Dados o poder-dever de regulamentar a matéria, inclusive
para o tratamento de dados pessoais sensíveis (art. 38).
A ANPD também pode exigir a elaboração do relató-

rio de impacto quando a base legal de tratamento for o legíti-
mo interesse do controlador (art. 10, § 3º, da LGPD), para o
577
tratamento realizado por pessoas jurídicas de direito público

(art. 32 da LGPD) e para o tratamento de dados pessoais com
a finalidade exclusiva de segurança pública, defesa nacional,
segurança do Estado ou nas atividades de investigação e re-
pressão de infrações penais (art. 4º, III e § 3º, da LGPD).
Como visto, os tribunais brasileiros, como controladores

de dados pessoais, possuem o dever de elaboração do relatório
de impacto, que deve observar os requisitos legais e outros even-
tualmente acrescidos por normas infralegais, com a peculiarida-
de de que poderão abranger inclusive os dados pessoais tratados
em processos e procedimentos de natureza penal.
VII. REFERÊNCIAS
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS.

ABNT NBR ISO/IEC 27000:2018: Tecnologia da informação
– Técnicas de segurança – Sistemas de gestão de segurança da
informação – Visão Geral e Vocabulário. Rio de Janeiro, 2018.
BRASIL. Lei Geral de Proteção de Dados (LGPD): Guia de

boas práticas para implementação na Administração Públi-
ca Federal. Disponível em: <https://www.gov.br/governodi-
gital/pt-br/seguranca-e-protecao-de-dados/guias/guia_lgpd.
pdf>. Acesso em 02 jul. 2022.
HINTZBERGEN, Jule; HINTZBERGEN, Kees; SMUL-

DERS, André; BAARS, Hans; Fundamentos de segurança
da informação: com base na ISO 27001 e na ISO 27002. Rio
de Janeiro: Brasport, 2018.
578
OS DESAFIOS NA UTILIZAÇÃO DA
ANONIMIZAÇÃO E PSEUDONIMIZAÇÃO
Paula do Amaral Ferraz Rodrigues1
Em setembro de 2022, a Lei Geral de Proteção de

Dados Pessoais (Lei 13.709/18 – LGPD), que teve for-
te influência do direito comunitário europeu, completa
dois anos de vigência. Com o avanço tecnológico do ca-
pitalismo hiperconectado e de vigilância,2 é fato que as
legislações não conseguem acompanhar e prever as con-
sequências decorrentes do desenvolvimento das tecnolo-
gias, sobretudo no que tange à proteção dos dados pes-
soais dos titulares.
1
Advogada na área de privacidade e proteção de dados pessoais. Pós-Gra-
duada em Direito dos Contratos (PUC-Rio) e em Direito Público e Priva-
do (EMERJ). Possui certificação DPO-Exin.
2
“O capitalismo de vigilância reivindica de maneira unilateral a expe-
riência humana como matéria-prima gratuita para a tradução em dados
comportamentais. Embora alguns desses dados sejam aplicados para o
aprimoramento de produtos e serviços, o restante é declarado como supe-
rávit comportamental do proprietário, alimentando avançados processos
de fabricação conhecidos como “inteligência de máquina” e manufatura-
dos em produtos de predição que antecipam o que um determinado indi-
víduo faria agora, daqui a pouco e mais tarde. Por fim, esses produtos de
predições são comercializados num novo tipo de mercado para predições
comportamentais que chamo de mercados de comportamentos futuros.
(ZUBOFF, Shoshana. A era do capitalismo de vigilância: a luta por um
futuro humano na nova fronteira do poder. Tradução de George Schlesin-
ger. 1. ed. Rio de Janeiro: Intrínseca, 2020. p. 18-19.)
579
Com isso, constata-se, portanto, que “para estar

no mundo da tecnologia e usufruir da sua potencialidade
de conveniências e utilidades é necessário renunciar à
proteção de dados pessoais, que se tornam, em gran-
de medida, a moeda de troca padrão destes serviços.” 3
Ocorre que, “as mudanças sociais e tecnológicas exigem
uma proteção específica da privacidade e, em particular,
dos dados pessoais.” 4 5
Dessa forma, ante a ausência de regulação a res-
peito de determinados temas, através do diálogo das fon-
tes o profissional afasta-se, portanto, da aplicação de
forma isolada de uma única legislação, motivo pelo qual
diversas legislações se dialogam para a solução do caso
concreto. No que tange ao tema sobre anonimização e
pseudonimização, tendo em vista que se encontra expres-
samente na LGPD, de forma genérica, enquanto a Auto-
ridade Nacional de Proteção de Dados (ANPD – artigo
5º, XIX, LGPD) não se manifestar sobre, é interessante
que o profissional se oriente por meio dos materiais das
autoridades estrangeiras.
4
MAGRANI, Eduardo. Entre dados e robôs: ética e privacidade na era da
hiperconectividade. 2. ed. Porto Alegre: Arquipélago Editorial, 2019. p.89.
5
“Vivemos em um mundo de big data e jamais, em tempo algum da histó-
ria, um volume tão significativo de informações foi processado de forma
ininterrupta e exponencial pelas organizações em geral e também pelas pró-
prias pessoas naturais.” (MALDONADO, Viviane Nóbrega. A Lei Geral de
Proteção de Dados: objeto, âmbito de aplicação, requisitos, segurança e a
necessidade de sua correta implementação. In: MALDONADO, Viviane
Nóbrega (Coord.). LGPD: Lei Geral de Proteção de Dados Pessoais: ma-
nual de implementação. São Paulo: Thomson Reuters Brasil, 2019. p. 12.)
580
I. BREVES CONSIDERAÇÕES SOBRE DADOS

PESSOAIS
De acordo com o artigo 5º, inciso I, LGPD, dado pes-

soal é toda “informação relacionada a pessoa natural identi-
ficada ou identificável”. E dado pessoal sensível (artigo 5º,
inciso II, LGPD) é todo “dado pessoal sobre origem racial ou
étnica, convicção religiosa, opinião política, filiação a sindi-
cato ou a organização de caráter religioso, filosófico ou polí-
tico, dado referente à saúde ou à vida sexual, dado genético
ou biométrico, quando vinculado a uma pessoa natural.”
Conforme orientação técnica do Information Commis-
sioner´s Office (ICO - autoridade supervisora do Reino Unido)
“o que identifica um indivíduo pode ser um nome ou um núme-
ro ou pode incluir outros identificadores, como um endereço IP
ou um identificador de cookie”, bem como que, com relação às
informações que se relacionam à pessoa, deve-se levar em con-
sideração vários fatores tais como o conteúdo das informações,
a finalidade para qual está processando tais informações e o pro-
vável impacto ou efeito do processamento na pessoa.6 7
O Article 29 Working Party (WP29), dispõe que o
termo “qualquer informação” sinaliza a vontade do legisla-
6
Tradução livre.
7
INFORMATION COMMISSIONER´S OFFICE (ICO). What is personal
data? Disponível em: <https://ico.org.uk/for-organisations/guide-to-data-
-protection/guide-to-the-general-data-protection-regulation-gdpr/key-defi-
nitions/what-is-personal-data/#2>. Acesso em: 14. jun. 2022. No mesmo
sentido, é o entendimento da Comissão Europeia: EUROPEAN COMMIS-
SION. What is personal data? Disponível em: <https://ec.europa.eu/info/
law/law-topic/data-protection/reform/what-personal-data_en#:~:text=Per-
sonal%20data%20is%20any%20information,person%2C%20also%20
constitute%20personal%20data>. Acesso em: 14 jun. 2022.
581
dor em conceber um conceito amplo de dados pessoais, bem

como que para que as informações sejam dados pessoais, não
é necessário que sejam verdadeiras ou comprovadas, uma vez
que o titular pode exercer o seu direito de acesso e pode con-
testá-las pelas medidas apropriadas. Como exemplo, o nome
de um medicamento, o fabricante, preço de venda, dentre ou-
tros, podem ser considerados dados pessoais sobre o médico
que prescreve o medicamento, mesmo que o paciente seja
anônimo. Outro exemplo, a voz do cliente dando instruções
ao banco, as quais são gravadas em fita, vale dizer que tais
instruções devem ser consideradas como dados pessoais. Ou-
tro exemplo diz respeito às imagens de indivíduos capturadas
por um sistema de vigilância por vídeo podem ser dados pes-
soais na medida em que os indivíduos sejam reconhecíveis.8 9
Dessa forma, para que a organização utilize a técnica
da anonimização ou da pseudonimização, é essencial a com-
preensão sobre o significado de dados pessoais.
II. DA ANONIMIZAÇÃO E DA PSEUDONIMIZAÇÃO
A Lei Geral de Proteção de Dados Pessoais (Lei

13.709/18 - LGPD) versa sobre a anonimização no artigo 5º,
incisos III e XI - considerado o glossário da lei -, bem como
no Artigo 12, §1º. E, sobre a pseudonimização, no Artigo 13,
§4º:10Artigo 5º, III - dado anonimizado: dado relativo a titular que não
8
Tradução livre.
9
ARTICLE 29 DATA PROTECTION WORKING PARTY. Opinion 4/2007
on the concept of personal data. 20 de Junho de 2007. Disponível em: <ht-
tps://www.pdp.ie/docs/1030.pdf>. Acesso em: 14 jun. 2022. p. 6, 7 e 8.
10
BRASIL. Presidência da República. Lei 13.709 de 14 de agosto de 2018. Lei Ge-
ral de Proteção de Dados Pessoais (LGPD). Disponível em: <http://www.planalto.
582
possa ser identificado, considerando a utilização de meios técnicos razoá-

veis e disponíveis na ocasião de seu tratamento;
XI - anonimização: utilização de meios técni-

cos razoáveis e disponíveis no momento do tra-
tamento, por meio dos quais um dado perde a
possibilidade de associação, direta ou indireta,
a um indivíduo.
Art. 12. Os dados anonimizados não serão con-

siderados dados pessoais para os fins desta Lei,
salvo quando o processo de anonimização ao
qual foram submetidos for revertido, utilizando
exclusivamente meios próprios, ou quando, com
esforços razoáveis, puder ser revertido.
§ 1º A determinação do que seja razoável deve

levar em consideração fatores objetivos, tais
como custo e tempo necessários para reverter
o processo de anonimização, de acordo com as
tecnologias disponíveis, e a utilização exclusiva
de meios próprios.
Artigo 13, § 4º: Para os efeitos deste artigo, a
pseudonimização é o tratamento por meio do
qual um dado perde a possibilidade de associa-
ção, direta ou indireta, a um indivíduo, senão
pelo uso de informação adicional mantida sepa-
radamente pelo controlador em ambiente contro-
lado e seguro.
No Regulamento Geral sobre Proteção de Dados da

União Europeia 2016/679 (General Data Protection Regula-
tion — GDPR), a anonimização é disposta na parte final do
Considerando 26 e a pseudonimização, no artigo 4º, (5), na pri-
gov.br/ccivil_03/_ato2015-2018/2018/Lei/L13709.htm>. Acesso em: 14 jun. 2022.
583
meira parte do Considerando 26,11 e nos Considerandos 28 e 29:12
Artigo 4º, (5) - «Pseudonimização», o tratamento de

dados pessoais de forma que deixem de poder ser atri-
buídos a um titular de dados específico sem recorrer a
informações suplementares, desde que essas informa-
ções suplementares sejam mantidas separadamente e
sujeitas a medidas técnicas e organizativas para asse-
gurar que os dados pessoais não possam ser atribuídos
a uma pessoa singular identificada ou identificável;
11
(26) Os princípios da proteção de dados deverão aplicar-se a qualquer infor-
mação relativa a uma pessoa singular identificada ou identificável. Os dados
pessoais que tenham sido pseudonimizados, que possam ser atribuídos a uma
pessoa singular mediante a utilização de informações suplementares, deverão
ser considerados informações sobre uma pessoa singular identificável. Para de-
terminar se uma pessoa singular é identificável, importa considerar todos os
meios suscetíveis de ser razoavelmente utilizados, tais como a seleção, quer
pelo responsável pelo tratamento quer por outra pessoa, para identificar direta
ou indiretamente a pessoa singular. Para determinar se há uma probabilidade ra-
zoável de os meios serem utilizados para identificar a pessoa singular, importa
considerar todos os fatores objetivos, como os custos e o tempo necessário para
a identificação, tendo em conta a tecnologia disponível à data do tratamento
dos dados e a evolução tecnológica. Os princípios da proteção de dados não
deverão, pois, aplicar-se às informações anónimas, ou seja, às informações que
não digam respeito a uma pessoa singular identificada ou identificável nem a
dados pessoais tornados de tal modo anónimos que o seu titular não seja ou já
não possa ser identificado. O presente regulamento não diz, por isso, respeito ao
tratamento dessas informações anónimas, inclusive para fins estatísticos ou de
investigação. (REGULAMENTO (UE) 2016/679 DO PARLAMENTO EU-
ROPEU E DO CONSELHO de 27 de abril de 2016. Jornal Oficial da União
Europeia. Disponível em: <https://eur-lex.europa.eu/legal-content/PT/TXT/
PDF/?uri=CELEX:32016R0679>. Acesso em: 14 jun. 2022.)
12
REGULAMENTO (UE) 2016/679 DO PARLAMENTO EUROPEU E
DO CONSELHO de 27 de abril de 2016. Jornal Oficial da União Eu-
ropeia. Disponível em: <https://eur-lex.europa.eu/legal-content/PT/TXT/
PDF/?uri=CELEX:32016R0679>. Acesso em: 14 jun. 2022.
584
(28) A aplicação da pseudonimização aos dados

pessoais pode reduzir os riscos para os titulares de
dados em questão e ajudar os responsáveis pelo
tratamento e os seus subcontratantes a cumprir as
suas obrigações de proteção de dados. A introdução
explícita da «pseudonimização» no presente regu-
lamento não se destina a excluir eventuais outras
medidas de proteção de dados.13
(29) A fim de criar incentivos para aplicar a pseudo-

nimização durante o tratamento de dados pessoais,
deverá ser possível tomar medidas de pseudonimi-
zação, permitindo-se simultaneamente uma análise
geral, no âmbito do mesmo responsável pelo trata-
mento quando este tiver tomado as medidas técni-
cas e organizativas necessárias para assegurar, rela-
tivamente ao tratamento em questão, a aplicação do
presente regulamento e a conservação em separado
das informações adicionais que permitem atribuir
os dados pessoais a um titular de dados específico.
O responsável pelo tratamento que tratar os dados
pessoais deverá indicar as pessoas autorizadas no
âmbito do mesmo responsável pelo tratamento.
Assim, importante frisar que a anonimização e a pseudo-

nimização são consideradas técnicas de segurança utilizadas para
13
“De acordo com o considerando 28 procede-se a uma relação entre pseudonimi-
zação de dados pessoais e redução de riscos para os titulares de dados em questão,
auxiliando-se os responsáveis pelo tratamento e os seus subcontratantes a cumprir
as suas obrigações de proteção de dados. De acordo com a doutrina: “a pseudoni-
mização reduz a vinculação de um conjunto de dados com a identidade do titular;
trata-se de uma medida de segurança útil, mas que não representa a anonimização.”
De qualquer forma, a introdução explícita da pseudonimização no presente regula-
mento não se destina a excluir eventuais outras medidas de proteção de dados.” (PI-
NHEIRO, Alexandre Sousa (Coord); COELHO, Cristina Pimenta; DUARTE; Ta-
tiana; GONÇALVES, Carlos Jorge e GONÇALVES, Catarina Pina. Comentários
ao Regulamento Geral de Proteção de Dados. Almedina. Dez. 2018. p.135-136.)
585
fins de mitigar os riscos, as quais competem à organização não só

decidir qual será aplicada em seu atual projeto, como também se
terá condições de, realmente, aplicar na prática uma das técnicas
mencionadas e comprovar documentalmente que a técnica utilizada
é eficaz e suficiente para a proteção dos dados pessoais dos titulares,
para fins de accountability (artigo 6º, inciso X, LGPD). Por fim, no
que tange à accountability, vale ressaltar que a organização deve se
preocupar com o uso ético dos dados pessoais (ethics by design14), o
qual não significa tão somente o cumprimento da legislação.
III. CONSIDERAÇÕES SOBRE A ANONIMIZAÇÃO
No que tange à anonimização, tanto a LGPD como o

GDPR dispõem que dados anonimizados não são considera-
dos dados pessoais. Dessa forma, se porventura a organização
anonimizar os dados pessoais em seu projeto, significa que a
lei de proteção de dados não é aplicada, pois dado anonimizado
é “dado relativo à titular que não possa ser identificado, consi-
derando a utilização de meios técnicos razoáveis e disponíveis
na ocasião de seu tratamento” (inciso III do artigo 5º, LGPD).
Em outras palavras, se realmente o titular não puder ser identi-
14
A título de informação, acerca da ética dos dados, pode-se dizer que “as
empresas éticas na era do big data de hoje estão fazendo mais do que apenas
cumprir a legislação de proteção de dados. Elas também seguem o espírito
e a visão da legislação ouvindo atentamente seus clientes. Elas estão im-
plementando políticas de transparência confiáveis e claras para o gerencia-
mento de dados. Elas estão apenas processando os dados necessários e de-
senvolvendo culturas corporativas e estruturas organizacionais conscientes
da privacidade. Algumas estão desenvolvendo produtos e serviços usando
Privacy by Design.” (HASSELBALCH, Gry; TRANBERG, Pernille. Data
ethics: the new competitive advantage. 1. ed. 2016. p. 10. Tradução livre.)
586
ficado mediante a aplicação de tal técnica, não há dado pessoal

e, consequentemente, não há aplicação das regras de proteção
de dados contidas na LGPD, e no GDPR, uma vez que a lei de
proteção de dados aplica-se aos titulares de dados pessoais.15
Ocorre que, para a eficácia da anonimização – a qual
refere-se à conversão de dados pessoais em “dados anonimi-
zados” através da aplicação de uma série de técnicas de ano-
nimização16 17 - é essencial que o processo de anonimização
utilizado, além de precisar ser definido de forma objetiva
e clara, não possa ser revertido “utilizando exclusivamente
meios próprios, ou quando, com esforços razoáveis, puder
ser revertido” (artigo 12, LGPD). E “esforços razoáveis”
significam ser “fatores objetivos, tais como custo e tempo
necessários para reverter o processo de anonimização, de
acordo com as tecnologias disponíveis, e a utilização ex-
clusiva de meios próprios” (§1º, artigo 12, LGPD). Confor-
me opinião exarada pelo Article 29 Working Party (WP29),
“a anonimização é cada vez mais difícil de alcançar com o
avanço da tecnologia”,18 19 cujo processo requer cuidados
15
“(...) legislações como o GDPR não se aplicam a dados anonimizados (...)
com demasiada frequência os dados que se pensavam serem anônimos tor-
nam-se facilmente reidentificados. Parte do problema é que não temos cer-
teza sobre quais técnicas podem ser desenvolvidas e usadas no futuro para
reidentificar indivíduos em um banco de dados “anônimo”. Portanto, nós
temos de ser tão rigorosos quanto nossa imaginação nos permite ser para
definir o que conta como anônimo.” (VÉLIZ, Carissa. Privacidade é poder:
por que e como você deveria retomar o controle de seus dados. Tradução de
Samuel Oliveira. 1. ed. São Paulo: Editora Contracorrente, 2021. p. 177.)
16
Tradução livre.
17
PERSONAL DATA PROTECTION COMMISSION SINGAPORE. Jan. 2018.
Disponível em: <https://www.pdpc.gov.sg/-/media/Files/PDPC/PDF-Files/Other-
-Guides/Guide-to-Anonymisation_v1-(250118).pdf>. Acesso em: 14 jun. 2022. p. 6.
18
Tradução livre.
19
ARTICLE 29 DATA PROTECTION WORKING PARTY. Opinion
03/2013 on purpose limitation. Disponível em: <https://ec.europa.eu/
justice/article-29/documentation/opinion-recommendation/files/2013/
wp203_en.pdf>. Acesso em: 14 jun. 2022. p. 31.
587
pela organização para que os titulares de dados que tenham

os seus dados pessoais anonimizados, não sejam identifica-
dos se porventura houver a possibilidade de associação com
bases de dados diversas.
Acerca do processo de anonimização, entende o
WP29 que, “o tratamento desses dados pessoais para conse-
guir a sua anonimização, é uma instância de “processamen-
to posterior”,20 e que tem que ter uma finalidade específica
para a ocorrência desse tratamento. Verifica-se, portanto,
que antes da ocorrência do processo de anonimização, a
organização terá uma base de dados pessoais, os quais fo-
ram coletados em observância aos princípios da finalidade,
adequação, necessidade (artigo 6º, incisos I a III, LGPD) e
cujos titulares podem ser identificáveis, motivo pelo qual
deverá se ter uma base legal para tal tratamento.21
A Agência Espanhola de Proteção de Dados
(AEPD) e European Data Protection Supervisor (EDPS)
elaboraram um documento em conjunto que versa sobre a
existência de 10 mal-entendidos acerca da anonimização,22
23
quais sejam:
20
05/2014 on Anonymisation Techniques. Disponível em: <https://ec.eu-
ropa.eu/justice/article-29/documentation/opinion-recommendation/fi-
les/2014/wp216_en.pdf>. Acesso em: 14 jun. 2022. p. 7.
21
A título de informação, dispõe o WP29 que “Os dados pessoais devem
ser coletados para fins específicos. O controlador deve, portanto, consi-
derar a finalidade ou finalidades para as quais os dados pessoais serão
usados e não devem ser coletados dados pessoais que não são necessários,
adequados ou relevantes para o propósito ou propósitos que destinam-
-se a ser servidos.” (ARTICLE 29 DATA PROTECTION WORKING
PARTY. Opinion 03/2013 on purpose limitation. Disponível em: <https://
ec.europa.eu/justice/article-29/documentation/opinion-recommendation/
files/2013/wp203_en.pdf>. Acesso em: 14 jun. 2022. p. 15).
22
Tradução livre.
23
AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS (AEPD) – EUROPEAN
DATAPROTECTION SUPERVISOR (EDPS). 10 Misundertanding related to anony-
misation. Disponível em: <https://edps.europa.eu/system/files/2021-04/21-04-27_aepd-
588
MAL-ENTENDIDO FATO
pseudonimização é o
pseudonimização não é o mesmo que
1 mesmo que anonimi-
anonimização
zação
criptografia não é uma técnica de ano-

criptografia é anonimi-
2 nimização, mas pode ser uma poderosa
zação
ferramenta de pseudonimização24
3 anonimização do dado nem sempre é possível reduzir o risco
é sempre possível de reidentificação25 abaixo de um limi-
te previamente definido, mantendo um
conjunto de dados útil para um proces-
samento específico
4 anonimização é para existe o risco de alguns processos de

sempre anonimização poderem ser revertidos
no futuro. As circunstâncias podem
mudar ao longo do tempo e novos de-
senvolvimentos técnicos e a disponibili-
dade de informações adicionais podem
comprometer processos anteriores de
anonimização
-edps_anonymisation_en_5.pdf>. Acesso em: 14 jun. 2022.

24
“O processo de criptografia usa chaves secretas para transformar as infor-
mações de forma a reduzir o risco de uso indevido, mantendo a confidencia-
lidade por um determinado período de tempo. Como as informações origi-
nais precisam ser acessíveis, as transformações aplicadas pelos algoritmos
de criptografia são projetadas para serem reversíveis, no que é conhecido
como descriptografia.” (AGENCIA ESPAÑOLA DE PROTECCIÓN DE
DATOS (AEPD) – EUROPEAN DATA PROTECTION SUPERVISOR
(EDPS). 10 Misundertanding related to anonymisation. Disponível em:
<https://edps.europa.eu/system/files/2021-04/21-04-27_aepd-edps_anony-
misation_en_5.pdf>. Acesso em: 14 jun. 2022. p. 3. Tradução Livre.)
25
A título de informação, o termo “reidentificação” significa “o processo de
transformar dados anônimos em dados pessoais por meio do uso de cor-
respondência de dados ou técnicas semelhantes.” (INFORMATION COM-
MISSIONER´S OFFICE (ICO). Anonymisation: managing data protection
risk code of practice. November 2012. Disponível em: <https://ico.org.uk/
media/1061/anonymisation-code.pdf>. Acesso em: 14 jun. 2022. p. 6.)
589
5 anonimização sempre o processo de anonimização e a forma

reduz a probabilidade como é implementado terão uma in-
de reidentificação de fluência direta na probabilidade de ris-
um conjunto de dados cos de reidentificação
para zero
6 anonimização é um é possível analisar e medir o grau de
conceito binário que anonimização
não pode ser medido
7 anonimização pode ser ferramentas automatizadas podem ser
totalmente automatizado usadas durante o processo de anonimi-
zação, no entanto, dada a importância
do contexto na avaliação geral do pro-
cesso, é necessária a intervenção de es-
pecialistas humanos
8 anonimização torna os um processo de anonimização adequa-

dados inúteis do mantém os dados funcionais para
uma determinada finalidade
9 seguindo um processo os processos de anonimização têm de
de anonimização que ser adaptados à natureza, âmbito, con-
outros usaram com su- texto e finalidades do tratamento, bem
cesso vai liderar nossa como aos riscos de probabilidade e gra-
organização para resul- vidade variáveis para os direitos e liber-
tados equivalentes dades das pessoas singulares
10 não há risco e nem in- os dados pessoais têm um valor em si,

teresse em descobrir para os próprios indivíduos e para ter-
a quem esses dados se ceiros. A reidentificação de um indiví-
referem duo pode ter um sério impacto nos seus
direitos e liberdades
Por fim, quanto às técnicas de anonimização,26 dispõe
26
Sobre as técnicas de anonimização, entende a autoridade de proteção de dados
da França, CNIL que, podem ser agrupadas em duas famílias, quais sejam: ran-
domização e generalização. Randomização “é o processo de alterar os atributos
em um conjunto de dados de forma que eles sejam menos precisos, mantendo a
distribuição geral. Essa técnica protege o conjunto de dados do risco de inferência.
Por exemplo: é possível permutar os dados relativos à data de nascimento dos in-
590
o WP29 que “podem fornecer garantias de privacidade, mas

apenas se a sua aplicação for concebida de forma adequada
– o que significa que os pré-requisitos (contexto) e o(s) ob-
jetivo(s) do processo de anonimização devem ser claramente
definidos para alcançar o nível alvo de anonimização.”27
IV. CONSIDERAÇÕES SOBRE A PSEUDONIMIZAÇÃO

Com relação à pseudonimização, esta técnica signifi-
ca ser “o tratamento por meio do qual um dado perde a possi-
bilidade de associação, direta ou indireta, a um indivíduo, se-
divíduos de modo a alterar a veracidade das informações contidas em um banco
de dados. Já com relação à generalização, consiste em “modificar a escala dos atri-
butos dos conjuntos de dados, ou sua ordem de grandeza, para garantir que sejam
comuns a um conjunto de pessoas. Esta técnica permite evitar a individualização
de um conjunto de dados. Também limita as possíveis correlações do conjunto de
dados com outros. Por exemplo: em um arquivo contendo a data de nascimento
das pessoas, é possível substituir essa informação apenas pelo ano de nascimento.
(CNIL. L’anonymisation de données personnelles. 19 mai. 2020. Disponível em:
<https://www.cnil.fr/fr/lanonymisation-de-donnees-personnelles>. Acesso em: 14
jun. 2022.). Sobre as técnicas de anonimização, o Article 29 Working Party (WP29),
entende que a randomização pode ser combinada com técnicas de generalização
para fornecer garantias de privacidade mais fortes. E, quanto à generalização, cita
como exemplo informar o nome da região em vez de informar o nome da cidade
da pessoa, um mês, em vez de uma semana. Ocorre que “embora a generalização
possa ser eficaz para evitar a exclusão, ela não permite a anonimização efetiva em
todos os casos; em particular, requer abordagens quantitativas específicas e sofisti-
cadas para evitar a vinculação e a inferência. (ARTICLE 29 DATA PROTECTION
WORKING PARTY. Opinion 05/2014 on Anonymisation Techniques. Disponível
em: <https://ec.europa.eu/justice/article-29/documentation/opinion-recommenda-
tion/files/2014/wp216_en.pdf>. Acesso em: 14 jun. 2022. p. 12 e 16).
27
ARTICLE 29 DATAPROTECTION WORKING PARTY. Opinion 05/2014 on Anony-
misation Techniques. Disponível em: <https://ec.europa.eu/justice/article-29/documentation/
opinion-recommendation/files/2014/wp216_en.pdf>.Acesso em: 14 jun. 2022. p. 23.
591
não pelo uso de informação adicional mantida separadamente

pelo controlador em ambiente controlado e seguro” (artigo
13, §4º, LGPD). Ou seja, se a organização aplicar a técnica
da pseudonimização significa que ela tem como saber quem
são os titulares de dados pessoais e, por isso, há aplicação da
LGPD, pois dados pseudonimizados são dados pessoais.
A pseudonimização não só é considerada uma medida
de segurança técnica e organizativa ao tratamento de dados,
a fim de assegurar um nível de segurança adequado ao risco
(artigo 32, (1), a, GDPR), como também é uma medida téc-
nica e organizativa adequada28 ao tratamento dos dados pes-
soais, em que o controlador, por padrão (privacy by default29),
28
O European Data Protection Board (EDPB), sucessor do Article 29
Working Party (WP29), sustenta que: “As medidas técnicas e organizacio-
nais e as garantias necessárias podem ser entendidas num sentido amplo
como qualquer método ou meio que um responsável pelo tratamento pode
aplicar no tratamento. Ser adequado significa que as medidas e as garantias
necessárias devem permitir alcançar o objetivo pretendido, ou seja, devem
aplicar eficazmente os princípios da proteção de dados.” (EDPB. Guidelines
4/2019 on Article 25. Data Protection by Design and by Default. Adopted
on 20 October 2020. Disponível em: <https://edpb.europa.eu/our-work-
-tools/our-documents/guidelines/guidelines-42019-article-25-data-protec-
tion-design-and_en>. Acesso em 14 jun. 2022. p. 6.)
29
A título de informação, Ann Cavoukian, ex-comissária de Informação e
Privacidade da Província de Ontário, no Canadá, foi quem desenvolveu o
conceito do privacy by design, na década de 1990, e propôs 7 princípios
fundamentais do privacy by design. Dessa forma, o controlador é quem
decidirá em seu projeto, se irá pseudonimizar ou anonimizar os dados pes-
soais e, com isso, significa que está aplicando o privacy by design, uma vez
que está sendo proativo e preocupado com a privacidade dos titulares. O
segundo princípio do Privacy by Design, é conhecido como Privacy by de-
fault (privacidade como configuração padrão), em que a organização, quan-
do coletar os dados pessoais mínimos, adequados e necessários para uma
finalidade específica, em seu projeto, ao pseudonimizar/anonimizar em
seguida, estará garantindo a privacidade do titular, por padrão. (CAVOU-
KIAN, Ann. Privacy by Design: The 7 Foundational Principles. Disponível
592
irá tratar dados necessários para a finalidade específica (arti-

go 25, (1), (2) e Considerando 78, GDPR e artigo 46, § 2º,
LGPD). Acerca da pseudonimização, entende o WP29, que:
A pseudonimização consiste em substituir um atri-

buto (normalmente um atributo único) em um regis-
tro por outro. A pessoa singular é, portanto, ainda
suscetível de ser identificada indiretamente; con-
sequentemente, a pseudonimização, quando usada
sozinha, não resultará em um conjunto de dados
anônimo. (...)
A pseudonimização reduz a vinculação de um con-

junto de dados com a identidade original de um titu-
lar de dados; como tal, é uma medida de segurança
útil, mas não um método de anonimização.30 31
Com relação às técnicas de pseudonimização mais

utilizadas, entende o WP29 que são as seguintes: (i) cripto-
grafia com chave secreta; (ii) função hash, ressaltando que
também há o uso de uma função salted-hash (em que um
valor aleatório, conhecido como “sal”, é adicionado; (iii)
“função hash com chave armazenada (em que há a utiliza-
ção de uma chave secreta como entrada adicional (isso dife-
re de uma função hash com adição do “sal”, que, geralmen-
em: <https://iapp.org/media/pdf/resource_center/pbd_implement_7fou-
nd_principles.pdf>. Acesso em 14 jun. 2022.). Acerca da metodologia Pri-
vacy by Design, dispõe R. Jason Cronk: “Ultimately, privacy by design is
a mindset, a culture of respect for individuals and their autonomy. Without
this attitude underlying the work, it is almost impossible to design for pri-
vacy.” (CRONK, R. Jason. Strategic Privacy By Design. Published by the
International Association of Privacy Professionals (IAPP). 2018. p. 255.)
30
Tradução livre.
31
593
te, não é secreto”; (iv) criptografia determinística ou função

keyed-hash com exclusão da chave; e, (v) tokenização.32 33
O WP29 dispõe que um dos erros mais comuns das
organizações é considerar dados pseudonimizados como
dados anonimizados, as quais entendem que a remoção
ou substituição de um ou mais atributos é suficiente para
tornar anônimo, um conjunto de dados.34 O WP29 também
menciona que, na verdade, “alterar o ID não impede que
alguém identifique um titular de dados se os quase-iden-
tificadores permanecerem no conjunto de dados ou se os
valores de outros atributos ainda forem capazes de iden-
tificar um indivíduo,” bem como que “devem ser tomadas
medidas adicionais para considerar o conjunto de dados
como anonimizado, incluindo a remoção e generalização
de atributos ou a eliminação dos dados originais ou, pelo
menos, elevando-os a um nível altamente agregado.”35 36
32
Tradução livre.
33
les/2014/wp216_en.pdf>. Acesso em: 14 jun. 2022. p. 20-21.
34
35
Tradução livre.
36
594
É fato que “o desenvolvimento de novas tecnologias

e a contínua globalização da economia e da sociedade leva-
ram a uma multiplicação da informação pessoal que é reco-
lhida, organizada, transferida ou conservada e à consequente
multiplicação dos riscos para esses dados.”37 Dessa forma,
compete à organização, através do conhecimento do que se-
jam dados pessoais, decidir no início do seu projeto e antes
de entrar em produção, acerca dos dados pessoais que serão
coletados, em respeito aos princípios da LGPD, em especial,
os da finalidade, adequação, necessidade e prestação de con-
tas (artigo 6º, incisos I, II, III e IX, LGPD).
Com relação à anonimização, se os dados pessoais
coletados deixarem de ser necessários para a finalidade es-
pecífica para a qual foram coletados, a organização poderá
optar em descartá-los ou anonimizá-los, a depender da estra-
tégia interna a ser adotada, a qual deverá estar devidamente
documentada para fins de prestação de contas se porventura
houver uma fiscalização por parte da ANPD ou solicitação
por outros órgãos. Ao optar pela anonimização, a organização
deverá avaliar acerca da ausência do risco de reidentificação.
No que tange à pseudonimização, se porventura a organiza-
ção decidir pseudonimizar os dados pessoais coletados para
que não se tenham dados pessoais diretamente identificáveis,
deve-se escolher a técnica adequada para a segurança desses
dados, para fins de mitigação dos riscos.
37
ARTICLE 29 DATA PROTECTION WORKING PARTY. Opinion 03/2010
on the principle of accountability. Disponível em: <https://www.dataprotec-
tion.ro/servlet/ViewDocument?id=720>. Acesso em: 14 jun. 2022. p. 20.
595
Por fim, é importante ressaltar que todas as organi-

zações devem observar os princípios que constam na LGPD
(artigo 6º), bem como os 7 (sete) princípios fundamentais da
metodologia Privacy by Design, quais sejam: (i) ser proativo,
não, reativo; (ii) privacidade como padrão; (iii) privacidade
incorporada ao design; (iv) funcionalidade total: soma positi-
va, não soma zero; (v) segurança de ponta a ponta; (vi) visi-
bilidade e transparência; e (vii) respeito pela privacidade do
usuário, o qual está no centro de tudo, antes, durante e após o
tratamento dos dados pessoais. E sempre lembrar que os da-
dos pessoais pertencem aos titulares e não, às organizações,
as quais deverão observar o ciclo de vida dos dados pessoais
em suas atividades de tratamento.
VI. REFERÊNCIAS
AEPD-EDPS. 10 Misunderstandings related to anonymi-

sation. <https://www.aepd.es/es/documento/10-anonymisa-
tion-misunderstandings.pdf>. Acesso em: 14 jun. 2022.
ARTICLE 29 DATA PROTECTION WORKING PARTY.
Opinion 4/2007 on the concept of personal data. 20 de Junho
de 2007. Disponível em: <https://www.pdp.ie/docs/1030.
pdf>. Acesso em: 14 jun. 2022.
__________. Opinion 05/2014 on Anonymisation Techni-
ques. Disponível em: <https://ec.europa.eu/justice/article-29/
documentation/opinion-recommendation/files/2014/wp216_
en.pdf>. Acesso em: 14 jun. 2022.
__________. Opinion 03/2013 on purpose limitation. Dispo-
nível em: <https://ec.europa.eu/justice/article-29/documen-
596
tation/opinion-recommendation/files/2013/wp203_en.pdf>.
__________. Opinion 03/2010 on the principle of accoun-
tability. Disponível em: <https://www.dataprotection.ro/ser-
vlet/ViewDocument?id=720>. Acesso em: 14 jun. 2022.
BRASIL. Presidência da República. Lei 13.709 de 14 de
agosto de 2018. Lei Geral de Proteção de Dados Pessoais
(LGPD). Disponível em: <http://www.planalto.gov.br/cci-
vil_03/_ato2015-2018/2018/Lei/L13709.htm>. Acesso em:
14 jun. 2022.
CAVOUKIAN, Ann. Privacy by Design: The 7 Foundatio-
nal Principles. Disponível em: <https://iapp.org/media/pdf/
resource_center/pbd_implement_7found_principles.pdf>.
Acesso em 14 jun. 2022
CNIL. L’anonymisation de données personnelles. 19 mai.
2020. Disponível em: <https://www.cnil.fr/fr/lanonymisa-
tion-de-donnees-personnelles>. Acesso em: 14 jun. 2022.
CRONK, R. Jason. Strategic Privacy By Design. Published by the
International Association of Privacy Professionals (IAPP). 2018.
EUROPEAN COMMISSION. What is personal data? Dispo-
nível em: <https://ec.europa.eu/info/law/law-topic/data-pro-
tection/reform/what-personal-data_en#:~:text=Personal%20
data%20is%20any%20information,person%2C%20also%20
constitute%20personal%20data>. Acesso em: 14 jun. 2022.
EDPB. Guidelines 4/2019 on Article 25. Data Protection by
Design and by Default. Adopted on 20 October 2020. Dis-
ponível em: <https://edpb.europa.eu/our-work-tools/our-do-
cuments/guidelines/guidelines-42019-article-25-data-protec-
tion-design-and_en>. Acesso em 14 jun. 2022.
597
HASSELBALCH, Gry; TRANBERG, Pernille. Data ethics:

the new competitive advantage. 1. ed. 2016.
INFORMATION COMMISSIONER´S OFFICE (ICO).
Anonymisation: managing data protection risk code of prac-
tice. November 2012. Disponível em: <https://ico.org.uk/me-
dia/1061/anonymisation-code.pdf>. Acesso em: 14 jun. 2022.
MAGRANI, Eduardo. Entre dados e robôs: ética e privacida-
de na era da hiperconectividade. 2. ed. Porto Alegre: Arqui-
pélago Editorial, 2019.
ZUBOFF, Shoshana. A era do capitalismo de vigilância: a luta
por um futuro humano na nova fronteira do poder. Tradução
de George Schlesinger. 1. ed. Rio de Janeiro: Intrínseca, 2020.
PERSONAL DATA PROTECTION COMMISSION SINGA-
PORE. Jan. 2018. Disponível em: <https://www.pdpc.gov.sg/-/
media/Files/PDPC/PDF-Files/Other-Guides/Guide-to-Anony-
misation_v1-(250118).pdf>. Acesso em: 14 jun. 2022.
PINHEIRO, Alexandre Sousa (Coord); COELHO, Cristina
Pimenta; DUARTE; Tatiana; GONÇALVES, Carlos Jorge e
GONÇALVES, Catarina Pina. Comentários ao Regulamento
Geral de Proteção de Dados. Almedina. Dez. 2018.
REGULAMENTO (UE) 2016/679 DO PARLAMENTO
EUROPEU E DO CONSELHO de 27 de abril de 2016.
Jornal Oficial da União Europeia. Disponível em: <https://
eur-lex.europa.eu/legal-content/PT/TXT/PDF/?uri=CELE-
X:32016R0679>. Acesso em: 14 jun. 2022.
VÉLIZ, Carissa. Privacidade é poder: por que e como você
deveria retomar o controle de seus dados. Tradução de Samuel
Oliveira. 1. ed. São Paulo: Editora Contracorrente, 2021.
598
A AUTODETERMINAÇÃO INFORMATIVA E O
USO SECUNDÁRIO DE DADOS PESSOAIS PELA
ADMINISTRAÇÃO PÚBLICA: QUAIS SÃO OS LIMITES?
Rachel Rezende Bernardes1

Rafael da Silva Alvim2
I. INTRODUÇÃO
Do nascimento ao óbito – e mesmo depois dele –,

o Estado trata3 dados pessoais dos indivíduos. Ao longo da
vida, as relações jurídicas entabuladas entre cidadãos e Poder
Público assumem conformações diversas (podem ser faculta-
tivas ou compulsórias; podem se referir ao registro civil, ao
acesso a serviços públicos ou ao recenseamento, por exem-
plo) e nelas há, de ordinário, o tratamento de dados pessoais,
1
Advogada. Gerente Jurídico da Vivo. Mediadora certificada pela Uni-
versity of California/Berkeley em Mediation Conflict Resolution e pelo
ICFML. Pós-graduada pelo Instituto Europeu da Faculdade de Direito da
Universidade de Lisboa-Pós-Graduação lato sensu em Estudos Europeus
na Vertente Jurídica. Concluiu o treinamento: “Learn How To Communi-
cate Online - Aprenda a se Comunicar Online” do Online Dispute Resolu-
tion Practitioner Certification Program. Vice-Presidente da Comissão de
Direito Sistêmico da OAB/DF. E-mail: rachelbernardes10@gmail.com.
2
Especialista em Direito Administrativo pelo Instituto de Direito Público
(IDP). Bacharel em Direito pela Universidade Federal do Estado do Rio
de Janeiro (UNIRIO). Advogado. Membro da Comissão de Privacidade e
Proteção de Dados Pessoais da OAB/DF. Data Protection Officer certifi-
cado pela EXIN Foundation (Utrecht, Holanda).
3
Adota-se, aqui, o conceito de tratamento exposto pelo art. 5º, X, da Lei
Geral de Proteção de Dados Pessoais (Lei n. 13.709/2018 ou LGPD),
para significar “toda operação realizada com dados pessoais” (como, por
exemplo, as que se referem à coleta, à distribuição e ao arquivamento).
599
orientado ao atingimento de finalidades variadas, de interesse

predominantemente público ou privado.
Existe, portanto, expressivo volume de informações
relativas às pessoas naturais em poder do Estado. Logo, mister
se atentar aos limites e permissões de tratamento delas. Nas
últimas décadas, o notável desenvolvimento no âmbito das
tecnologias da informação e comunicação (TIC) viabilizou o
aumento exponencial das capacidades de coleta, de análise,
de compartilhamento e de armazenamento de tais informa-
ções, rendendo ensejo à formação de verdadeiros mananciais
de dados pessoais (data lakes4), com relevantes implicações
para o exercício e o gozo de direitos individuais, civis e polí-
ticos. Tudo isso torna o tema ainda mais efervescente.
Muito embora pareçam ser questionamentos recen-
tes ou retirados de filmes de ficção, é algo presente em
nossa existência desde tempos longínquos, ainda que em
forma mais rudimentar.
Nesse contexto, o debate institucional passa a ex-
primir preocupações relacionadas à proteção dos titulares
4
“Um data lake é um repositório centralizado que ingere e armazena grandes
volumes de dados em sua forma original. Os dados podem ser processados e
usados como base para uma variedade de necessidades analíticas. Devido à sua
arquitetura aberta e escalonável, um data lake pode acomodar todos os tipos
de dados, de qualquer fonte, desde estruturadas (tabelas de banco de dados,
planilhas do Excel), semiestruturados (arquivos XML, páginas da Web) até não
estruturados (imagens, arquivos de áudio, tweets), tudo sem sacrificar a fideli-
dade. Os arquivos de dados normalmente são armazenados em zonas prepara-
das, brutos, limpos e coletados, para que diferentes tipos de usuários possam
usar os dados em suas várias formas para atender às suas necessidades. Os data
lakes fornecem consistência de dados básica em uma variedade de aplicativos,
habilitando a análise de Big Data, o aprendizado de máquina, a análise preditiva
e outras formas de ação inteligente” (Fonte: https://azure.microsoft.com/pt-br/
overview/what-is-a-data-lake/#what-is-a-data-lake Acesso em 02.07.2022)
600
de dados pessoais contra interferências indevidas em suas

vidas íntimas, em virtude de seu potencial deletério de ma-
cular ou mesmo suprimir o livre desenvolvimento da per-
sonalidade dos indivíduos5. Até onde se pode ir? O que é
desnecessário? Qual o limite do direito à privacidade e o
atingimento do interesse público?
O presente ensaio se reporta a um dos aspectos
fundamentais da discussão acerca do tratamento de dados
pessoais no âmbito da Administração Pública no Brasil:
cuida-se de refletir sobre o compartilhamento e o uso se-
cundário6 de dados pessoais à luz do conceito de “inte-
gridade contextual”, como proposta de harmonização7 do
postulado da eficiência administrativa com o princípio da
autodeterminação informativa8.
5
“The protection of personal data is essential for a free and self-determi-
ned development of the individual. At the same time, the self-determined
development of the individual is a precondition for a free and democratic
communication order. If citizens cannot oversee and control which or even
what kind of information about them is openly accessible in their social
environment, and if they cannot even appraise the knowledge of possible
communication partners, they may be inhibited in making use of their free-
dom.” (HORNUNG, Gerrit; SCHNABEL, Christoph. Data protection in
Germany I: The population census decision and the right to informational
self-determination. Computer Law & Security Review, n. 25, 2009, p. 85)
6
Entende-se por uso secundário de dados pessoais aquele orientado ao atin-
gimento de finalidades diversas das que motivaram a sua coleta. A finalida-
de diversa, nesse caso, deve ser compatível com a originária, de acordo com
o que preconiza o princípio da finalidade (art. 6º, I, da LGPD).
7
Como ressalta Miriam Wimmer, “o debate sobre compartilhamento e sobre o
uso secundário de dados no âmbito do Poder Público acaba por suscitar duas
perspectivas de difícil conciliação. De um lado, aquela que afirma que o amplo
compartilhamento de dados no Poder Público propicia a oferta de melhores ser-
viços públicos, a eficiência e a desburocratização; de outro, aquela que chama
atenção para os riscos decorrentes de tais iniciativas.” (In Limites e possibilida-
des para o uso secundário de dados pessoais no poder público: lições da pande-
mia. Revista Brasileira de Políticas Públicas, Brasília, v. 11, n. 1, 2021, p. 132)
8
De acordo com Marion Albers: “The right to informational self-deter-
601
II. O CENÁRIO BRASILEIRO: A ADMINISTRAÇÃO PÚ-

BLICA E O TRATAMENTO DE DADOS PESSOAIS
No Brasil, os últimos anos foram marcados por um

incremento substancial da produção acadêmica, legislativa e
jurisprudencial acerca do direito à proteção de dados pessoais.
Todavia, a prática institucional, sobretudo no âmbito da Admi-
nistração Pública, demonstra que ainda há um longo caminho
a percorrer rumo à efetivação dos preceitos e garantias esta-
belecidos pela Lei Geral de Proteção de Dados Pessoais (Lei
n. 13.709/2018 – LGPD), norma central e sistematizadora do
regime jurídico brasileiro de proteção de dados pessoais.
Tem-se a impressão de que este movimento em torno
da proteção de dados foi ocorrendo de forma empírica, em um
desencontro de velocidades entre o ser e o dever ser. Quase uma
corrida desenfreada em busca de preencher lacunas legislativas e
sociais que o cotidiano dinâmico fora criando. Um esforço cons-
tante em que muito se fez; porém, muito ainda há que ser realiza-
do diante da rapidez com que tudo ocorre na sociedade moderna,
onde os conceitos são paulatinamente compreendidos.
Com efeito, há demonstrações eloquentes da grande
dimensão que o tema assumiu no debate público nos últimos anos,
tais como (i) a decisão do Plenário do Supremo Tribunal Federal ao
referendar Medida Cautelar nas ADIs n. 63879, n. 6388, n, 6389, n.
mination confers on the individual the power to, in principle, determine
for himself or herself the disclosure and use of his or her personal data.
Individuals have the right to decide themselves whether and how their
personal data is to be divulged and used, in other words: a right to self-de-
termination about processing of data relating to them.” (In Realizing the
complexity of data protection. In GUTWIRTH, Serge; LEENES, Ronald;
DE HERT, Paul (eds.). Reloading data protection: multidisciplinary insi-
ghts and contemporary challenges. London: Springer, 2014, p. 218)
9
Em 24.04.2020: “(...) para suspender a eficácia da Medida Provisória n.
954/2020, determinando, em consequência, que o Instituto Brasileiro de
602
6390 e n. 639310, reconhecendo a existência de direito fundamental

autônomo à proteção de dados pessoais e (ii) a promulgação da
Emenda Constitucional n. 115/202211, para incluir a proteção
de dados pessoais no rol de direitos fundamentais previsto pelo
art. 5º da Constituição Federal.
Se por um lado há aparente convergência na atividade
legislativa e jurisdicional a respeito da afirmação do direito à
proteção de dados pessoais, por outro, no campo da atividade
administrativa, ainda subsistem práticas tanto polêmicas quan-
to questionáveis à luz desse novo regime jurídico. Ricardo
Campos e Juliano Maranhão12, nesse sentido, observam que
em “plena vacatio legis da LGPD foram publicados decretos
concentrando informações e dados nas mãos do Estado e per-
mitindo seu livre compartilhamento entre órgãos públicos in-
dependentemente de indicação da finalidade de tratamento”.
Vale mencionar, também, o Decreto n. 10.046/2019,
que dispõe sobre a governança no compartilhamento de dados
no âmbito da Administração Pública Federal e institui o Ca-
dastro Base do Cidadão e o Comitê Central de Governança de
Dados. De acordo com sua redação, uma de suas diretrizes é
o compartilhamento da informação do Estado “da forma mais
Geografia e Estatística – IBGE se abstenha de requerer a disponibilização

dos dados objeto da referida medida provisória e, caso já o tenha feito, que
suste tal pedido, com imediata comunicação à(s) operadora(s) de telefonia”.
10
Todas distribuídas por prevenção à Ministra Rosa Weber. Naquela ocasião, a
Suprema Corte apreciou a constitucionalidade da Medida Provisória n. 954/2020,
a qual previa o compartilhamento de dados de usuários de telecomunicações com
o Instituto Brasileiro de Geografia e Estatística (IBGE) para a produção de esta-
tística oficial durante a pandemia da Covid-19. Nada mais atual.
11
Promulgada em 10 de fevereiro de 2022.
12
In Separação informacional de poderes frente à tradição brasileira na
Administração Pública. MARINHO, Gustavo; VALIM, Rafael; SIMÃO,
Valdir; WARDE, Walfrido (orgs.). Aspectos relevantes da Lei Geral de
Proteção de Dados. 1. ed. São Paulo: Contracorrente, 2021, p. 90.
603
ampla possível” (art. 3º, I). Além disso, o Decreto dispensou,

de forma geral, a necessidade de “celebração de convênio,
acordo de cooperação técnica ou instrumentos congêneres para
a efetivação do compartilhamento de dados” (art. 5º).
Outro caso emblemático é o do Decreto n. 9.929/2019,
que instituiu o Sistema Nacional de Informações de Registro Ci-
vil (Sirc), que tem dentre seus objetivos o de “promover a inte-
roperabilidade entre os sistemas dos cartórios de registro civil de
pessoas naturais e os cadastros mantidos pelo Poder Executivo fe-
deral” (art. 2º, III), e cuja gestão foi atribuída a um Comitê Gestor
(“CGSirc”) composto por diversos órgãos (Ministérios, INSS e
IBGE). De acordo com seu art. 7º, os dados que constam do Sirc
(relativos a registros de nascimento, de casamento, de óbito e de
natimorto) podem ser disponibilizados “aos órgãos e entidades da
administração pública federal, estadual, distrital e municipal que
os solicitarem”. O Decreto, curiosamente, não fez menção à espe-
cificação de finalidade nas solicitações de compartilhamento.
Em reiteradas ocasiões, o Supremo Tribunal Federal já
foi chamado a apreciar a juridicidade de iniciativas de compar-
tilhamento e uso secundário de dados pessoais entre órgãos e
entidades da Administração Pública, ou entre estes e outros ato-
res institucionais. É o caso, por exemplo, da Medida Cautelar na
Suspensão de Liminar n. 1.103/SP13, em que o STF suspendeu
decisão do Tribunal Regional Federal da 3ª Região que determi-
nara quebra de sigilo estatístico, para determinar ao IBGE o for-
necimento, ao Ministério Público Federal, de dados necessários
à identificação de 45 crianças que não haviam sido regularmente
registradas nos cartórios do registro civil da cidade de Bauru/SP.
Mais recentemente, veio a lume o julgamento da MC
na ADPF n. 695/DF14, manejada contra ato do Poder Públi-
DJE nº 95, divulgado em 05.05.2017.

13
DJE nº 202, divulgado em 13.08.2020.

14
604
co consubstanciado no compartilhamento de dados pessoais

constantes da Carteira Nacional de Habilitação entre o Servi-
ço Federal de Processamento de Dados (SERPRO) e a Agên-
cia Brasileira de Inteligência (ABIN), com amparo no Decre-
to n. 10.046/2019. Ao indeferir o pedido de medida cautelar,
o Ministro Relator, Gilmar Mendes, consignou que “o regime
jurídico de compartilhamento de dados entre órgãos e ins-
tituições do Poder Público é matéria de extrema relevância
para a proteção constitucional do direito constitucional à
privacidade (art. 5º, caput e incisos X, da Constituição Fede-
ral), situando-se como garantia elementar de qualquer socie-
dade democrática contemporânea”.
Inequivocamente, o tratamento de dados pessoais pelo
Poder Público consiste em um dos aspectos centrais a serem
regulados à luz do regime protetivo centralizado pela LGPD,
orientado primordialmente à tutela dos direitos dos cidadãos,
com especial enfoque na garantia da autodeterminação infor-
mativa, consubstanciada em expressão instrumental do direi-
to ao livre desenvolvimento da personalidade. Cumpre aos
atores institucionais envolvidos na construção desse arcabou-
ço regulatório contribuir com a concepção de um ambiente
em que sejam conciliados, na melhor medida possível, os di-
ferentes interesses em jogo. O que, como se sabe, está longe
de ser algo simples.
III. NOVOS CAMINHOS À LUZ DA LGPD: COMPA-

TIBILIZAÇÃO ENTRE EFICIÊNCIA ADMINISTRA-
TIVA E AUTODETERMINAÇÃO INFORMATIVA
Os arts. 23 e seguintes da LGPD, ao disporem sobre

o regime jurídico do tratamento de dados pessoais pelo Po-
der Público, não oferecem grau de detalhamento suficiente a
605
respeito do uso secundário de dados pessoais; já no que diz

respeito ao compartilhamento desses dados em âmbito inter-
no, embora o tema tenha recebido atenção maior do legisla-
dor (arts. 25 e 26), nota-se que a disciplina estabelecida pela
LGPD, amparada em conceitos jurídicos indeterminados, é
pouco esclarecedora – e, portanto, abre margem a diversos
questionamentos. Mencione-se, por exemplo, a referência
feita pela cláusula geral do art. 26 a “finalidades específicas
de execução de políticas públicas e atribuição legal pelos ór-
gãos e pelas entidades públicas”.
Ademais, como visto, a experiência institucional bra-
sileira tem revelado pouca deferência da Administração Pú-
blica à imposição de limites e critérios claros ao compartilha-
mento e ao uso secundário de dados pessoais. Pelo contrário,
o que se constata é um amplo compartilhamento de dados
pessoais entre órgãos e entidades diversos, independente-
mente da compatibilidade de finalidades ou das expectativas
havidas pelos titulares com relação ao fluxo de seus dados.
De fato, a Lei Geral de Proteção de Dados Pessoais
é elemento fundamental da construção de um arcabouço re-
gulatório capaz de expressar, no plano infralegal, o mesmo
grau de proteção dos direitos dos titulares de dados pessoais
expresso no quadro normativo geral que culminou na própria
LGPD. Endereçar o problema da escassez de parâmetros nor-
mativos claros e suficientes, capazes de balizar a regulação
do compartilhamento e do uso secundário de dados pessoais
no âmbito do Poder Público (compatibilizando-os com a au-
todeterminação informativa dos titulares), não prescinde da
crítica à noção do Estado enquanto “unidade informacional”.
Como lecionam Ricardo Campos e Juliano Maranhão15, com
apoio na teoria de Spiros Simitis,
Ob. cit., p. 98.

15
606
(...) o princípio da separação informacional de pode-

res não visa ao engessamento das atividades estatais,
nem traz obstáculos à eficiência da execução de suas
finalidades. Pelo contrário. A separação informacional
de poderes procura garantir que o Estado atual - cada
vez mais um Estado digitalizado, onde a eficácia de sua
atividade depende da forma como ele utiliza os novos
meios eletrônicos - não se transforme em unidade in-
formacional, retomando uma visão absolutista de um
estado totalitário digital em sua versão 4.0.
Com efeito, também de acordo com o Supremo Tri-

bunal Federal, “não há uma autorização irrestrita no ordena-
mento jurídico brasileiro ao livre fluxo e compartilhamento
de dados no Poder Público”16. Assim, não se pode deixar de
considerar o papel do princípio da finalidade17, previsto ex-
pressamente no art. 6º, I, da LGPD, em sua estreita relação
com o direito à autodeterminação informativa (informatio-
nelles Selbstbestimmung), incorporado ao regime jurídico
brasileiro de proteção de dados pessoais após ter sido gestado
no bojo da jurisprudência do Tribunal Constitucional Ale-
mão, a partir da célebre sentença referente ao recenseamento
da população (Volkszählungsurteil), no ano de 1983.
Como dito, o regime jurídico estabelecido pela
LGPD, embora tenha endereçado a questão do comparti-
lhamento e do uso secundário de dados pessoais no âmbito
do Poder Público, não apresenta detalhamento suficiente à
regulação de aspectos relevantes da temática. Isso porque
a disciplina vem cifrada em disposições genéricas e em
conceitos de ampla abertura semântica (como “descentra-
16
Medida Cautelar na ADPF n. 695/DF, rel. Ministro Gilmar Mendes (deci-
são monocrática). Julgamento em 24/06/2020. Publicação em 26/06/2020.
17
“Art. 6º As atividades de tratamento de dados pessoais deverão observar a
boa-fé e os seguintes princípios: I - finalidade: realização do tratamento para
propósitos legítimos, específicos, explícitos e informados ao titular, sem possi-
bilidade de tratamento posterior de forma incompatível com essas finalidades;”
607
lização da atividade pública”), sendo necessária densifica-

ção por meio da atividade regulatória, de sorte a proscre-
ver ou desestimular iniciativas que ofendam princípios e
fundamentos da própria Lei.
Evidentemente, não se propõe obstar o fluxo de
dados pessoais entre os órgãos e entidades que integram
a Administração Pública. Até porque, além de ser algo ir-
reversível e inevitável nos tempos atuais, é preciso ter em
mente a sua importância fundamental para o incremento
da eficiência na execução dos serviços públicos e demais
atividades cometidas ao Estado. O que se sugere é que as
finalidades do compartilhamento e do uso secundário dos
dados pessoais sejam compatíveis com as que justificaram
a sua coleta, como expressão de deferência ao princípio da
autodeterminação informativa.
IV. A INTEGRIDADE CONTEXTUAL
De fato, o conceito de compatibilidade, por sua ampla

abertura semântica, somada à falta de parâmetros claros no tex-
to legal (e à ausência de densificação do texto normativo pela
atividade regulatória), torna desafiador o papel a ser desempe-
nhado pela Administração Pública, na compatibilização entre a
otimização da função administrativa e o respeito aos direitos e
garantias fundamentais relacionadas à proteção de dados pes-
soais dos cidadãos. Entretanto, o conceito de “integridade con-
textual”18 pode ajudar o intérprete da norma nesse processo.
De acordo com Helen Nissenbaum, “We can think of contextual inte-

18
grity as a metric, preserved when informational norms within a context

are respected and violated when they are contravened.” (In Privacy in
Context. Technology, Policy, and the Integrity of Social Life. Stanford:
608
A integridade contextual se reporta, em síntese, à

higidez das “normas informacionais relativas ao contexto”
(context-relative informational norms) em que se dá um de-
terminado fluxo de informações pessoais. Tais normas não
são estáticas: variam de acordo com o contexto social em que
ocorra o fluxo dos dados pessoais. Mais do que isso, são res-
ponsivas a “contingências históricas, culturais, e até mesmo
geográficas”19. É, portanto, o conjunto de normas informa-
cionais que indicará o desenho20 de um determinado contexto
no qual se dá o tratamento de dados pessoais.
Na síntese feita por Bruno Bioni21, “as normas informa-
cionais restringem o fluxo dos dados, verificando-se a sua inte-
gridade de acordo com o contexto em que eles estão inseridos”.
Interessante ilustração é feita por Laura Schertel e Ga-
briel Fonseca22 ao se referirem ao grau de zelo e confidencia-
lidade que, de ordinário, se espera do tratamento de dados no
contexto da saúde. Caso os dados referentes à saúde de um
paciente sejam compartilhados por um médico com outro, com
vistas a aprimorar o diagnóstico, não haverá, a rigor, quebra da
integridade contextual; entretanto, caso tais dados sejam com-
partilhados com vistas à obtenção de vantagem econômica, o
comprometimento da integridade contextual é mais evidente.
Em suma, a circunstância na qual se desenvolve uma
Stanford University Press, 2010, p. 14)
19
NISSENBAUM, Helen. Idem, p. 3.
20
“In general, informational norms prescribe the principles under which
personal information of certain kinds flow from one point, a sender acting
in a certain capacity, to another, a recipient acting in a certain capacity.”
(NISSENBAUM, Helen. Idem, p. 232)
21
BIONI, Bruno Ricardo. Proteção de dados pessoais: a função e os limi-
tes do consentimento. 3. ed. Rio de Janeiro: Forense, 2021, p. 204.
22
In Proteção de dados para além do consentimento: tendências contemporâneas de
materialização. Revista Estudos Institucionais, v. 6., n. 2, maio/ago. 2020, p. 519.
609
determinada relação jurídica deve ser considerada quando se

busca examinar a adequação do fluxo de dados pessoais. A
partir das “normas informacionais” sobre ela incidentes, pro-
duzir-se-ão nos indivíduos “razoáveis expectativas” a respei-
to da forma como seus dados serão tratados. Desse modo, o
exame da higidez – rectius, da integridade – do contexto, de
sorte a se analisar a legitimidade do fluxo de dados, envolve
também considerar as expectativas razoáveis dos indivíduos.
Por isso, não haverá compatibilidade de finalidades em
situações nas quais a integridade contextual seja rompida (i.e.,
onde os novos tratamentos não estejam dentro de uma esfera
de razoáveis expectativas dos titulares, aferidas à luz das nor-
mas informacionais incidentes sobre determinado contexto). A
regulamentação do tema à luz do conceito de “integridade con-
textual” induz à consideração do indivíduo no fluxo de dados
pessoais e, por conseguinte, à observância da autodetermina-
ção informativa no compartilhamento e no uso secundário de
dados pessoais pela Administração Pública.
V. CONCLUSÃO
Indubitável que o tema possui diversas camadas e não se

tem a pretensão de esgotá-lo, mas sim de trazer reflexões necessá-
rias e debates que levarão a um caminho mais razoável, com solu-
ções balizadas pelos princípios da proporcionalidade e finalidade.
O presente artigo se propôs a problematizar a questão
do compartilhamento e do uso secundário de dados pessoais
pela Administração Pública brasileira, tendo-se em perspecti-
va o papel fundamental do tratamento de dados pessoais para
o desempenho eficiente da função administrativa e, ao mesmo
tempo, o dever de observância aos direitos e garantias funda-
mentais dos cidadãos enquanto titulares de dados pessoais.
610
Bruno Bioni, ao dissertar sobre o uso secundário de

dados pessoais, assevera que se deve perquirir se o novo uso
é compatível com as legítimas expectativas dos titulares.
Isso, de acordo com o autor, é parametrizado “pela noção de
compatibilidade entre o uso adicional e aquele que originou
a coleta dos dados pessoais”23. Ainda em suas palavras, tais
usos “devem ser próximos um do outro, demandando-se uma
análise contextual para verificar se esse uso secundário seria
esperado pelo titular dos dados”24.
Vê-se, portanto, que tais operações de tratamento de-
vem ser realizadas pela Administração somente se observada a
compatibilidade de finalidades entre o uso que se pretende fa-
zer dos dados pessoais e aquelas que orientaram a sua coleta. À
falta de parâmetros normativos claros no texto legal, buscou-se
propor a consideração da integridade contextual como parâme-
tro para aferição da licitude do compartilhamento e do uso de
dados pessoais, pela Administração, para finalidades diversas
das informadas ao titular no momento da coleta.
Como indica Miriam Wimmer, no plano da experiên-
cia internacional podem ser verificadas manifestações rei-
teradas de autoridades de proteção de dados no sentido de
estabelecer a compatibilidade de finalidades como requisito
do uso secundário de dados pessoais por administrações pú-
blicas. Subjacente a tal orientação está a referência à noção
de integridade contextual, “que coloca ênfase sobre o aten-
dimento às razoáveis expectativas dos indivíduos quanto à
forma em que seus dados são tratados e compartilhados”25.
No Brasil, a Autoridade Nacional de Proteção de Dados
editou o “Guia Orientativo: Tratamento de Dados Pessoais pelo
Poder Público”, mencionando o contexto como um dos aspectos
a serem considerados na avaliação da compatibilidade entre a fi-
23
Ob. cit., p. 248.
24
Idem, ibidem.
25
Ob. cit., p. 136.
611
nalidade original e a do uso secundário dos dados pessoais. Essa

importante orientação da ANPD, embora ainda inicial e não vin-
culante, revela a inclinação do regulador a compatibilizar o com-
partilhamento e o uso secundário de dados pessoais com as ga-
rantias dos titulares por meio da observância das circunstâncias
fáticas, o que, espera-se, trará segurança jurídica aos cidadãos.
Embora se reconheça que ainda há muito que se caminhar
e se aprofundar neste relevante debate, parece claro que a har-
monia entre a finalidade original e o uso secundário dos dados
pessoais será um norte adequado na busca do equilíbrio entre a
previsibilidade e o pleno exercício da função pública.
VI. REFERÊNCIAS
ALBERS, Marion. Realizing the complexity of data protec-

tion. In GUTWIRTH, Serge; LEENES, Ronald; DE HERT,
Paul (eds.). Reloading data protection: multidisciplinary insi-
ghts and contemporary challenges. London: Springer, 2014.
AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS
– ANPD. Guia Orientativo: Tratamento de Dados Pes-
soais pelo Poder Público, versão 1.0, jan./2022.
BIONI, Bruno Ricardo. Proteção de dados pessoais: a fun-
ção e os limites do consentimento. 3. ed. Rio de Janeiro:
Forense, 2021.
CAMPOS, Ricardo; MARANHÃO, Juliano. Separação in-
formacional de poderes frente à tradição brasileira na
Administração Pública. In MARINHO, Gustavo; VALIM,
Rafael; SIMÃO, Valdir; WARDE, Walfrido (orgs.). Aspectos
relevantes da Lei Geral de Proteção de Dados. 1. ed. São Pau-
lo: Contracorrente, 2021.
612
HORNUNG, Gerrit; SCHNABEL, Christoph. Data protec-

tion in Germany I: The population census decision and
the right to informational self-determination. Computer
Law & Security Review, n. 25, 2009, p. 84-88.
MENDES, Laura Schertel Ferreira. FONSECA, Gabriel C.
Soares da. Proteção de dados para além do consentimen-
to: tendências contemporâneas de materialização. Revista
Estudos Institucionais, v. 6., n. 2, maio/ago. 2020, p. 507-533.
NISSENBAUM, Helen. Privacy in Context: Technology,
Policy, and the Integrity of Social Life. Stanford: Stanford
University Press, 2010.
WIMMER, Miriam. Limites e possibilidades para o uso se-
cundário de dados pessoais no poder público: lições da
pandemia. Revista Brasileira de Políticas Públicas, Brasília,
v. 11, n. 1, 2021, p. 122-142.
613
A PUBLICIDADE REGISTRAL E O RISCO

RELATIVO À PROTEÇÃO DE DADOS PESSOAIS
Rafael A. Carneiro de Castilho1
I.A FUNÇÃO DOS REGISTROS PÚBLICOS NO

SISTEMA SOCIAL
Para que seja compreendida a noção do risco aplicado aos

cartórios, bem como os desafios que envolvem as serventias em
relação à proteção de dados pessoais, será necessário contextuali-
zar a sua função diante do sistema social, o que será feito através
de breve síntese das razões do seu surgimento até o presente.
A noção de registro está muito relacionada ao próprio sur-
gimento da escrita, que tem em seu cerne o objetivo de gravar
informações no tempo, viabilizando sua manutenção para a poste-
ridade e propiciando o seu conhecimento para as futuras gerações.
Tão antigo quanto o surgimento da própria escrita, é
a percepção de propriedade, que em seus primórdios estava
ligado a objetos de uso pessoal pelas sociedades primitivas
nômades, como armas e utensílios de uso pessoal, enquanto
que as coisas úteis ao grupo, como abrigo e o território onde
se localizavam, possuía condição comunitária.
1
Graduado pela Universidade para o Desenvolvimento do Estado e da Re-
gião do Pantanal (UNIDERP). Pós- Graduado em Direito Digital e Prote-
ção de Dados pela Escola Brasileira de Direito (EBRADI). Extensão em
Direito Imobiliário pela Fundação Getúlio Vargas (FGV). Pós-Graduando
LLM em Proteção de Dados, Brasil e Portugal, pela Fundação Escola Su-
perior do Ministério Público (FMP). Membro da Comissão da Sociedade
de Advogados da OAB-MS. Membro do Instituto Brasileiro de Direito
Imobiliário (IBRADIM). Advogado com atuação no Direito Imobiliário,
Registral, Digital e Proteção de Dados.
614
Esses dois fatores são importantes para que seja pos-

sível a visualização do que viria a ser a atividade dos regis-
tros públicos, pois aqui há a interseção entre registro de uma
informação que se mantém no tempo, com a delimitação da
propriedade dentro uma coletividade.
Veja que, a partir do momento em que o ser humano
constitui comunidades fixas e passa a obter o seu sustento da
terra, a percepção de propriedade evolui, passando da exclu-
sividade das coisas móveis e se vinculando também ao solo,
onde passa a ser aplicado o esforço laboral, onde, inclusive,
se constitui o próprio abrigo, necessário para a subsistência.
Algum dos primeiros registros da antiguidade pode
ser verificado ainda na Babilônia, pelo Código de Hamura-
bi, pelo qual se realizava a demarcação dos limites de uma
propriedade de terras em pedra, alocada em espaço visível e
sob a proteção divina, do qual, ocorrendo qualquer alteração
resultaria em maldição dos deuses.
Outras culturas também adotaram sistemas de registro em
suas sociedades, tais como a egípcia, a grega, hebraica e a romana:
Na obra “Lei de Registros Públicos”, Wilson de
Souza Campos Batalha relata que, entre os he-
breus, celebrizou-se a classe dos escribas, em re-
ferência ao Gênesis XXIII, 18. Há registros histó-
ricos que também fazem menção à atividade dos
escribas, originários do Direito Egípcio; no Direi-
to Romano havia o equivalente scribanus, além
do serbens (escrevente) e do tabularis (notário).2
Tomando a propriedade como exemplo, é possível no-

tar a evolução desse conceito no tempo, conforme cita Maria
2
ARPEN-SP. História do Registro Civil: O Registro Civil ao longo da
História. ARPEN-SP, Associação dos Registradores de Pessoas Naturais
do Estado de São Paulo. Disponível em: <https://www.arpensp.org.br/
historia-do-registro-civil>. Acesso em: 26/06/2022.
615
Helena Diniz, em sua obra3:

A propriedade coletiva foi dando lugar à
privada, passando pelas seguintes etapas,
que Hahnemann Guimarães assim resume:
1º) propriedade individual sobre os obje-
tos necessários à existência de cada um; 2º)
propriedade individual sobre os bens de uso
particular, suscetíveis de ser trocados com
outras pessoas; 3º) propriedade dos meios de
trabalho e de produção; e 4º) propriedade in-
dividual nos moldes capitalistas, ou seja, seu
dono pode explorá-la de modo absoluto.
Em outras palavras, com a passagem do tempo, as so-

ciedades e as suas relações foram se modificando, conforme
se expandiam, se tornando mais complexas, o que demandou
a criação de meios para a manutenção da ordem e da estabi-
lidade social, de modo que fosse possível garantir o respeito
dos pactos e da propriedade de cada indivíduo.
Nesse ponto, adentramos ao campo da percepção de
segurança, instinto tão primitivo quanto à noção de proprie-
dade e que, igualmente, evoluiu nas relações sociais, deixan-
do o contexto da sua garantia através da caça, pesca e a es-
colha de abrigos seguros, para uma necessidade de garantias
dentro da própria sociedade que se integra.
De modo resumido, os riscos com o qual se preocu-
par não eram mais sobre se haveria alimentação para o dia
seguinte, ou onde repousar durante a noite, de modo a não
sofrer qualquer prejuízo em decorrência da exposição à vida
selvagem, mas se os acordos seriam cumpridos, se a proprie-
dade seria respeitada, ou seja, se a percepção do direito que
3
DINIZ, Maria Helena. Curso de Direito Civil Brasileiro, volume 4: Di-
reito das Coisas. 31ª ed. São Paulo: Saraiva, 2017, p. 126.
616
lhe fora concedido, teria a eficácia almejada, de modo a dis-

sipar as angústias da própria sobrevivência no meio social.
Em sua obra, Luis Guilherme Loureiro4, muito bem
pontua sobre a busca do ser humano por essa segurança:
Destarte, a busca do ser humano pela segu-
rança para si e para sua família, para seus
empreendimentos e negócios como meio de
lograr estabilidade, paz, confiança, dissipan-
do angústias e temores constitui, desde sem-
pre, uma necessidade tangível e inegável.
Ainda em sua obra, resume de forma didática a cons-

tituição desse sistema de garantias:
A vida em sociedade, pois, foi tornando evi-
dente a necessidade de um sistema cada vez
mais sofisticado de certeza e publicidade de
situações jurídicas, de tal forma que as pes-
soas pudessem conhecer e planejar sua vida
social econômica com segurança e estabili-
dade: a propriedade e refúgio familiar, a pro-
dução dos bens de subsistência, a troca dos
produtos excedentes, dentro outros, consti-
tuíam bens e valores vitais para os indivíduos
em uma sociedade emergente.5
Assim, com o desenvolvimento das sociedades e dos

sistemas de registros, as relações sociais tiveram condições de
se diversificar, pois havia um terceiro capaz de certificar as rela-
ções, de modo a imprimir segurança nas relações jurídicas, atra-
vés do conhecimento público desses fatos, sem o qual, acabaria
por se estabelecer uma sociedade baseada na força e na descon-
fiança, o que certamente impediria o avanço da civilização.
4
LOUREIRO. Luiz Guilherme. Registros Públicos: Teoria e Prática. 9ª
ed. Salvador: Juspodivm, 2018, p. 51.
5
Op. cit.,p. 52.
617
De modo sintético, a função primordial dos registros

públicos é a manutenção da paz social, através da estabilida-
de das relações e a garantia da segurança jurídica, pelo qual o
indivíduo passa a ter condições de não se afligir com questões
primárias, podendo dedicar energias para o que realmente man-
tém a sociedade em movimento, as relações sociais e jurídicas.
II.A PROTEÇÃO DE DADOS E A REGULAMENTA-

ÇÃO DAS SERVENTIAS
A atividade notarial e registral, em razão da sua ca-

racterística, já possui regulamentação própria, como é o caso
da Lei dos Notários e Registradores6 (LNR), o qual estabele-
ce competências, direitos e deveres, bem como as balizas da
atividade. Na mesma seara, também a Lei de Registros Pú-
blicos7 (LRP), o qual possui escopo mais limitado, voltado à
atividade registral propriamente, e constituindo critérios para
a execução da atividade.
Além das suscitadas normas, existem provimentos do
Conselho Nacional de Justiça, além de legislação estadual
para a organização dessas atividades, e mais recentemente, a
Lei nº 14.3828, de 27 de junho de 2022, que promoveu signi-
ficativa mudança na dinâmica imobiliária e instituiu Sistema
Eletrônico dos Registros Públicos (SERP), como modo de
simplificar o trânsito de bens e direitos na sociedade.
6
Lei 8.935/94, disponível em: <http://www.planalto.gov.br/ccivil_03/leis/l8935.htm>.
7
Lei 6.015/73, disponível em: http://www.planalto.gov.br/ccivil_03/leis/
l6015compilada.htm>.
8
Lei 14.382/22, disponível em: <http://www.planalto.gov.br/ccivil_03/_
Ato2019-2022/2022/Lei/L14382.htm#art11>
618
A guarda de dados e informações é a função nuclear

do sistema de notas e registros, sendo esta sua principal razão
de existir, a própria raiz do seu surgimento.
Nesse sentido, mesmo antes da entrada em vigor da Lei
Geral de Proteção de Dados9 (LGPD) pessoais, já é possível
observar, nessas normas, linhas gerais sobre o dever de guarda
das informações que ali constam, como é possível inferir na
LNR, pelos artigos 4º, que estabelece regramento para o seu
funcionamento em local de fácil acesso ao público e que “e
que ofereça segurança para o arquivamento de livros e docu-
mentos10”, e o 46º, o qual estipula que os meios de registros ao
dispor da serventia deverá “permanecer sempre sob a guarda e
responsabilidade do titular de serviço notarial ou de registro,
que zelará por sua ordem, segurança e conservação”11.
Ainda no referido diploma, há constituição de dever ao
titular da serventia em “observar as normas técnicas estabele-
cidas pelo juízo competente”12, partilhando sua regulamentação
de forma regional, como podemos observar das Normas Extra-
judiciais da Corregedoria Geral da Justiça do Tribunal de Justiça
do Estado de São Paulo, em seu Provimento 58/8913, estabelece
9
Lei 13.709/18, disponível em: <http://www.planalto.gov.br/ccivil_03/_
ato2015-2018/2018/lei/l13709.htm>.
10
Lei dos Notários e Registradores: Art. 4º Os serviços notariais e de registro
serão prestados, de modo eficiente e adequado, em dias e horários estabelecidos
pelo juízo competente, atendidas as peculiaridades locais, em local de fácil acesso
ao público e que ofereça segurança para o arquivamento de livros e documentos.
11
Lei dos Notários e Registradores: Art. 46º Os livros, fichas, documen-
tos, papéis, microfilmes e sistemas de computação deverão permanecer
sempre sob a guarda e responsabilidade do titular de serviço notarial ou
de registro, que zelará por sua ordem, segurança e conservação.
12
Lei dos Notários e Registradores: Art. 30. São deveres dos notários e
dos oficiais de registro: [...]XIV - observar as normas técnicas estabeleci-
das pelo juízo competente; e.
619
em seus itens 4214 e 4715, o mesmo dever de guarda, ordem e

conservação dos registros, com a incumbência de se informar ao
Juiz Corregedor Permanente e à Corregedoria Geral da Justiça
eventual desaparecimento ou dano que seja constatado.
A norma mais atual do Tribunal de Justiça do Estado
de São Paulo incluiu ainda, através do Provimento 23/2020,
seção específica para o tema de proteção de dados pessoais, em
acompanhamento das discussões e da evolução do tema, que
é diretamente ligado às atividades praticadas pelos cartórios.
Isso em razão a incidência da LGPD em relação aos cartó-
rios ser expressa, conforme a redação do seu artigo 23, §4º16, que
é endereçada especificamente para essa atividade, isso em razão
da sua condição singular, uma vez que trata de atividade pública
exercida em caráter privado, por delegação do Poder Público.
Nesse sentido, Fernando Antonio Tasso17:
13
Disponível em: <https://api.tjsp.jus.br/Handlers/Handler/FileFetch.
ashx?codigo=138286>.
14
Provimento 58/89, TJSP: 42. Os notários e registradores respondem pela
segurança, ordem e conservação dos livros e documentos sob sua guarda.
15
Provimento 58/89, TJSP: 47. O desaparecimento ou a danificação de
qualquer livro deverá ser imediatamente comunicada ao Juiz Corregedor
Permanente e à Corregedoria Geral da Justiça.
16
Lei Geral de Proteção de Dados Pessoais: Art. 23. O tratamento de dados
pessoais pelas pessoas jurídicas de direito público referidas no parágrafo úni-
co do art. 1º da Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à
Informação) , deverá ser realizado para o atendimento de sua finalidade pú-
blica, na persecução do interesse público, com o objetivo de executar as com-
petências legais ou cumprir as atribuições legais do serviço público, desde
que: [...] § 4º Os serviços notariais e de registro exercidos em caráter privado,
por delegação do Poder Público, terão o mesmo tratamento dispensado às
pessoas jurídicas referidas no caput deste artigo, nos termos desta Lei.
17
TASSO, Fernando Antonio. Do Tratamento de Dados Pessoais pelo Po-
der Público. In: MALDONADO, Viviane Nóbrega; BLUM, Renato Ópi-
ce. (Org.). LGPD: Lei Geral de Proteção de Dados Comentada. 2º ed. São
620
A LGPD atribui aos serviços notariais, de re-

gistro e de protesto, o mesmo tratamento le-
gal dispensado às pessoas jurídicas de direito
público, encontrando perfeita harmonia com o
artigo 173 da Constituição Federal e artigo 24
da LGPD, a contrario sensu, que prevê o regi-
me público às empresas públicas e sociedade
de economia mista que não desempenhem ati-
vidade concorrencial, mas de monopólio.
Nesse ponto, é possível observarmos a intercessão en-

tre a proteção dos dados pessoais e os registros públicos, no
sentido de que a manutenção de informações dos indivíduos
nos acentos públicos é inevitável, da mesma forma que o di-
reito da autodeterminação informativa deve ser garantido, sem
que com isso haja prejuízo aos princípios da atividade de regis-
tros públicos e ao desenvolvimento tecnológico, pelo qual es-
ses serviços vêm passando, estando posta, por tanto, a questão.
Um importante marco que deve ser considerado quan-
do se aborda a questão de informação nas serventias extraju-
diciais, é o Provimento 74/201818, do Conselho Nacional de
Justiça, que estabeleceu padrões de segurança da informação
para a manutenção das atividades cartoriais.
O ato normativo dispõe sobre padrões mínimos de
tecnologia da informação para a segurança, integridade e dis-
ponibilidade de dados para a continuidade da atividade das
serventias, o que, em linhas gerais, se trata da utilização de
recursos computacionais para o tratamento de informações,
tendo entre suas funções a proteção da informação.
Paulo: Thomson Reuters Brasil, 2019, p. 23.

18
Provimento 74/2018, CNJ. Disponível em: < https://atos.cnj.jus.br/atos/
detalhar/2637>.
621
Contudo, seu artigo 2º é expresso ao elencar o dever

de adoção de política de segurança da informação com meca-
nismos de controle físico e lógico, o qual abrange as informa-
ções físicas do acervo, conforme a redação:
Art. 2º Os serviços notariais e de re-
gistro deverão adotar políticas de se-
gurança de informação com relação a
confidencialidade, disponibilidade, au-
tenticidade e integridade e a mecanismos
preventivos de controle físico e lógico.
Veja que, em função da sua carac-
terística, os cartórios já possuíam
padrão organizacional, incluído a
salvaguarda dessas informações, po-
rém na esteira do desenvolvimento
tecnológico, com a adoção de pla-
taformas eletrônicas e acervos di-
gitais, houve a necessidade de se
adotar padrões mais específicos de
segurança da informação, de modo
a possibilitar a continuidade das ati-
vidades diante do atual cenário de
riscos, muitas vezes ligado ao am-
biente cibernético.
Para além da própria questão da ameaça à informação
e a continuidade das operações, a proteção de dados pessoais
traz um novo arcabouço de riscos, que podem ocorrer, não
pela violação direta de um sistema computacional ou de lo-
cal físico, mas do seu uso de modo a favorecer terceiro in-
teressado em detrimento do titular dessas informações, não
precisando abordar sequer a ideia de big data para justificar
a necessidade dessa proteção, se constituindo, a partir disso,
novo contexto de ameaça aos direitos individuais.
622
III. A PUBLICIDADE REGISTRAL E O RIS-

CO RELATIVO À PROTEÇÃO DE DADOS PESSOAIS
A noção geral de risco é extremamente ampla, se

referindo a questões diversas a depender do contexto em
que se apresenta, como na proteção de dados pessoais,
que está relacionado ao titular e a sua salvaguarda, en-
quanto no mercado financeiro, por exemplo, o risco está
associado a possibilidade de perda de capital, razão pelo
qual, não cabe aqui maior dissertação sobre o tema, mas
somente tentar restringi-lo sob a ótica da atividade de
registros públicos.
No entanto, é possível colocar em linhas gerais o
significado de risco, que em sentido puro é a probabilida-
de de um evento incerto ou desconhecido, que independe
da vontade das partes, e que impede o sucesso daquilo
que se pretende.
Em sentido técnico, é um elemento passível de
avaliação através da sua probabilidade de ocorrência em
relação ao impacto que pode gerar caso concretizado, a partir
do qual é tomada uma decisão com base nos fatos que se
tem e nos resultados que se pretende alcançar, através uma
previsão subjetiva de eventos futuros.
O risco é elemento que está diretamente relaciona-
do aos sistemas atuais de proteção de dados pessoais, isto
em razão do seu desenvolvimento voltado a um modelo
regulatório baseado em risco, fortemente influenciado
pelo sistema europeu, que adota critérios de exigência
com relação ao nível do risco do tratamento.
No Brasil, a LGPD, que possui forte referência na
legislação europeia, também traz ao longo do seu texto a
623
instituição do risco ligada a governança e ao relatório de

impacto à proteção de dados pessoais (RIPD), transportan-
do ao ordenamento nacional a percepção de calibragem da
responsabilidade pelo nível de risco.
Dentre as aparições do termo na LGPD, a que consta
no artigo 5019, caput, bem como no §1º20 e §2º, inciso I, alínea
“d”21, se relaciona diretamente às boas práticas e a governan-
ça, mesmo artigo esse que possibilita a autorregulação pelos
agentes de tratamento, podendo ser tanto de modo individual,
quanto por meio de associação.
Nesse sentido, e como anteriormente pontuado, os car-
tórios já possuem vasto arcabouço regulatório, devendo haver
sua expansão com o escopo na proteção de dados pessoais, no
sentido de, primordialmente, compatibilizar os preceitos do re-
gistro público com esse novo direito constitucional.
19
Lei Geral de Proteção de Dados Pessoais: Art. 50. Os controladores e ope-
radores, no âmbito de suas competências, pelo tratamento de dados pes-
soais, individualmente ou por meio de associações, poderão formular regras
de boas práticas e de governança que estabeleçam as condições de organi-
zação, o regime de funcionamento, os procedimentos, incluindo reclama-
ções e petições de titulares, as normas de segurança, os padrões técnicos, as
obrigações específicas para os diversos envolvidos no tratamento, as ações
educativas, os mecanismos internos de supervisão e de mitigação de riscos
e outros aspectos relacionados ao tratamento de dados pessoais.
20
Lei Geral de Proteção de Dados Pessoais: Art. 50. § 1º Ao estabelecer re-
gras de boas práticas, o controlador e o operador levarão em consideração,
em relação ao tratamento e aos dados, a natureza, o escopo, a finalidade e
a probabilidade e a gravidade dos riscos e dos benefícios decorrentes de
tratamento de dados do titular.
21
Lei Geral de Proteção de Dados Pessoais: Art. 50. §2º. I - implementar
programa de governança em privacidade que, no mínimo: [...] d) estabele-
ça políticas e salvaguardas adequadas com base em processo de avaliação
sistemática de impactos e riscos à privacidade;
624
Inclusive, o Conselho Nacional de Justiça possui gru-

po de trabalho, através da Portaria nº 60/2020, que já subme-
teu minuta à consulta pública, para a coleta de subsídios, com
previsão de conclusão dos trabalhos para meados de julho de
2022, caso não ocorra nova prorrogação.
O ponto essencial a ser observado em relação às ativi-
dades registrais, é o fato de que o risco relacionado a segurança
e ao sigilo das informações que constam nos acervos públicos
é diferente do risco relacionado à proteção de dados pessoais.
Atualmente, a publicidade registral não é irrestrita,
havendo sua mitigação em circunstâncias como o sigilo de
testamento público e a escritura pública de reconhecimento
de filhos, contudo essa moderação é relacionada a um fato
jurídico, e não exclusivamente a um dado pessoal.
Nesse ponto, necessário rememorar que a proteção de
dados é diferente da privacidade, aquela foi concebida desta,
constituindo proteção mais ampla ao indivíduo, vez em que
se estende às informações públicas de um determinado titu-
lar, que é a base da construção da sua imagem social, e tam-
bém elemento potencial de controle, uma vez que cruzados.
Nas palavras do ilustre professor Danilo Doneda:
Mediante a proteção de dados pessoais, ga-
rantias a princípio relacionadas com a privaci-
dades passam a ser vistas em uma ótica mais
abrangente, pela qual outros interesses devem
ser considerados, abrangendo as diversas
formas de controle tornadas possíveis com o
tratamento de dados pessoais. Estes interesses
devem ser levados em consideração pelo ope-
rador do Direito pelo qu representam, e não
somente pelo seu traço visível – a violação da
privacidade – para uma completa apreciação
do problema. (DONEDA, 2019, p. 173).
625
Em contrapartida, a publicidade registral é a essência

dos cartórios, o motivo pelo qual se deu o seu surgimento, e
fundamental para a constituição do efeito erga omnes, isto é,
para o conhecimento, por parte de terceiros, sobre o fato ali
constituído, o que nos conduz a estabilidade social.
A própria LRP é expressa, em seu artigo 1722, sobre a des-
necessidade de demonstração da legitimidade para requerimento
de emissão de certidão, por se tratar de informações públicas.
Nesse contexto, é possível visitar os princípios insculpi-
dos no artigo 6º, incisos II e III, da LGPD, que expressamente
tratam sobre adequação e a necessidade no tratamento dos dados
pessoais, no sentido de que, o fornecimento de uma certidão, não
necessariamente implica em qualquer violação de privacidade,
mas possui todo um rol de informações, os quais servem para
atestar uma situação pública, e que, se em excesso, possibilita a
utilização desses dados públicos para fins secundários.
É certo que não cumpre aos titulares das serventias
a responsabilidade sobre como serão utilizadas as certidões,
contudo o sistema cartorial poderia ser utilizado como um
meio de exploração de informações pessoais, mesmo que
públicas, considerando ainda a digitalização dos acervos e a
possibilidade de sua obtenção de forma mais ágil.
Aparentemente, em se tratando de proteção de dados
pessoais no âmbito dos registros públicos, e considerado a
especificidade da atividade, seria oportuno observar medidas
adicionais no acesso dessas informações.
22
Lei de Registros Públicos: Art. 17. Qualquer pessoa pode requerer cer-
tidão do registro sem informar ao oficial ou ao funcionário o motivo ou
interesse do pedido.
626
Um cenário possível de adoção como exemplo, é a

própria emissão de uma matrícula imobiliária, onde consta
todo o histórico dos eventos relativos ao imóvel, inclusive
informações como nome, registros de identidade, cônjuge e
endereço, de todos que em algum momento figuraram como
parte em negócio envolvendo o imóvel.
Nessa circunstância, poderia ser um caminho a manu-
tenção apenas do nome e CPF no fólio real, para demonstrar
a cadeia de titularidade e evitar a ocorrência de homônimo,
mantendo-se todas as demais informações nos demais livros,
como o indicador pessoal, com acesso mais restrito.
Mesmo a metodologia para a constituição do relató-
rio de impacto a proteção de dados pessoais, poderia ser es-
truturado de modo específico ao registro público, de modo a
mitigar o risco de exploração do acervo público para fins que
possam conflitar com o direito do titular da informação.
Em resumo, não se ignora os avanços já efetivados
pelas corregedorias e o CNJ, e que se encontram em estágio
avançado de trabalhos, contudo busca-se aqui efetivar singe-
la contribuição à complexa tarefa de regulamentação dessa
atividade essencial ao sistema de proteção de dados pessoais.
A necessidade de proteção dos dados pessoais traz novo

elemento a praticamente todas as áreas da sociedade, algumas
em maior, outras em menor grau, isto em razão da proteção
abranger informações públicas, e não apenas privadas, intimas
ou sigilosas, demandando que essas diversas áreas passem a
observar a proteção de dados para além da segurança da infor-
627
mação, pois o risco ao titular não decorre necessariamente de

uma violação à segurança, mas do uso indevido dessas infor-
mações, mesmo que obtidas de forma legal.
Apesar da aparente dicotomia entre o princípio da pu-
blicidade registral e o dever de proteção de dados pessoais, é
possível a consonância de ambas as normas, de modo a man-
ter a eficiência do serviço registral e alto grau de salvaguarda
das informações de todos os titulares que obrigatoriamente
utilizam desses serviços.
ARPEN-SP. História do Registro Civil: O Registro Civil

ao longo da História. ARPEN-SP, Associação dos Registra-
dores de Pessoas Naturais do Estado de São Paulo. Disponí-
vel em: <https://www.arpensp.org.br/historia-do-registro-ci-
vil>. Acesso em: 26/06/2022.
BRASIL. Conselho Nacional de Justiça. Provimento nº 74,
de 18 de dezembro de 2019. Dispõe sobre padrões mínimos de
tecnologia da informação para a segurança, integridade e dispo-
nibilidade de dados para a continuidade da atividade pelos ser-
viços notariais e de registro do Brasil. Disponível em: <https://
atos.cnj.jus.br/atos/detalhar/2637> Acesso em: 19 out. 2021.
BRASIL. Lei nº 6.015, de 31 de dezembro de 1973. Dispõe
sobre os registros públicos. Disponível em: <http://www.pla-
nalto.gov.br/ccivil_03/leis/l6015compilada.htm>.
BRASIL. Lei nº 8.935, de 18 de novembro de 1994. Dispõe
sobre serviços notariais e de registro. Disponível em: < http://
www.planalto.gov.br/ccivil_03/leis/l8935.htm>.
628
BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Ge-

ral de Proteção de Dados Pessoais. Disponível em: < http://
www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/
l13709.htm>.
BRASIL. Lei nº 14.382, de 31 de dezembro de 1973. Dis-
põe sobre o Sistema Eletrônico dos Registros Públicos (Serp).
Disponível em: <http://www.planalto.gov.br/ccivil_03/_
Ato2019-2022/2022/Lei/L14382.htm>.
CENEVIVA, Walter. Lei dos Registros Públicos Comenta-
da. 20ª ed. São Paulo: Saraiva, 2010.
DINIZ, Maria Helena. Curso de Direito Civil Brasileiro, vo-
lume 4: Direito das Coisas. 31ª ed. São Paulo: Saraiva, 2017.
DONEDA, Danilo. Da Privacidade à Proteção de Dados
Pessoais. 2ª ed. São Paulo: Thomson Reuters Brasil, 2019.
LOUREIRO. Luiz Guilherme. Registros Públicos: Teoria e
Prática. 9ª ed. Salvador: Juspodivm, 2018.
MALDONADO, Viviane Nóbrega; BLUM, Renato Ópice.
(Org.). LGPD: Lei Geral de Proteção de Dados Comenta-
da. 2º ed. São Paulo: Thomson Reuters Brasil, 2019
PALHARES, Felipe (Coord.). Temas Atuais de Proteção de
Dados. São Paulo: Thomson Reuters Brasil, 2020.
SÃO PAULO. Provimento nº 58, de 28 de novembro de
1989. Dispõe sobre as Normas e Serviços dos Cartórios Ex-
trajudiciais – Tomo II. Disponível em: <https://api.tjsp.jus.br/
Handlers/Handler/FileFetch.ashx?codigo=138286>.
629
PRIVACIDADE E PROTEÇÃO DE DADOS EM

FUSOES E AQUISICOES DE EMPRESAS
Susane Leone1
I. INTRODUÇÃO
O primeiro ponto a se considerar em qualquer avalia-

ção de Privacidade e Proteção de Dados em um processo de
fusão, aquisição e incorporação é identificar quais normas ou
leis serão aplicadas nos processos a partir de quais tipos de
titulares e dados a serem transacionados. A partir dessa aná-
lise regulatória, será possível ter a melhor compreensão so-
bre: a legalidade dos tratamentos, dados necessários e quais
dados deverão ser minimizados ou eliminados antes mesmo
do
processo de aquisição da nova empresa ser efetivado.
O Segundo ponto a se considerar é a influência do
direito concorrencial, especialmente quando se há o risco de
concentração do mercado e atuação do Conselho Adminis-
trativo de Defesa Econômica (CADE). É sabido que ainda
no primeiro semestre de 2021, o CADE firmou um acordo de
cooperação técnica com a Autoridade Nacional de Proteção
de Dados para aperfeiçoar as ações voltadas à defesa, fomen-
to e disseminação da concorrência no que tange à proteção de
dados2.
1
Advogada, pós-graduada em Propriedade Intelectual e Novos Negócios pela FGV
e cursando MBA em Gestão de Projetos na ESALQ USP. Escreveu o seu primeiro
artigo sobre Privacidade e Proteção de Dados em 2014 quando ainda estava na fa-
culdade. Desde a aprovação da LGPD, já trabalhou em consultorias especializadas
em cibersegurança, liderou projetos de adequação e privacy by design de projetos em
empresas multinacionais. Por fim, é voluntaria no Projeto Juventude Privada que bus-
ca compartilhar o conhecimento do tema de proteção de dados com a nova geração.
630
Em rápida pesquisa de jurisprudência no site do

SEI3 do CADE, percebe-se o crescente número de de-
mandas, como atos de concentração, inquéritos e proces-
sos administrativos, envolvendo o tema de “dados pes-
soais”. Se torna ainda mais relevante esse número quando
a pesquisa traz os resultados a partir da vigência da LGPD.
Entre os temas discutidos no CADE, pode-se encon-

trar a concorrência desleal, comercialização de dados pes-
soais e a necessidade ou não de coleta de autorização junto
aos titulares dos dados, visto que a principal finalidade do
CADE nessas demandas é a de evitar atos de concentração
por agentes econômicos e a transferência de dados pessoais
que possam ser lesivas à Ordem Econômica.
Ciente do impacto que o tema de Privacidade e Prote-
ção de Dados pode gerar no processo de aquisição de novas
empresas, esse artigo tem o objetivo de abordar de uma ma-
neira prática os principais pontos de atenção a serem conside-
rados durante um processo de aquisição, fusão ou incorpora-
ção de empresas, buscando-se mitigar riscos e trazer robustez
e maturidade durante o processo de M&A.
Por fim, também serão apresentados dois casos inter-
nacionais de M&A de empresas no cenário europeu (GDPR),
as respectivas ações tomadas para prevenir e mitigar riscos de
privacidade e proteção de dados e as adequações que seriam
factíveis ao contexto brasileiro (LGPD).
2
Disponível em https://www.gov.br/cade/acl_users/credentials_cookie_auth/re-
quire_login?came_from=https%3A//www.gov.br/cade/pt-br/assuntos/noticias/
cade-e-anpd-assinam-acordo-de-cooperacao-na-proxima-quarta-feira-02-06
3
Disponível em https://jurisprudencia.cade.gov.br/resultado-pesquisa
631
II. LEI GERAL DE PROTEÇÃO DE DADOS
A Lei Geral de Proteção de Dados não determina pro-

cedimentos específicos a serem adotados em casos de aqui-
sição e fusão de empresas. Entretanto, é pacífico o entendi-
mento que a LGPD alterou significativamente os processos
de compra de empresas, uma vez que qualquer passivo da
empresa adquirida, ainda que anterior à aquisição, será de to-
tal responsabilidade da empresa adquirente.
Desta forma, investidores buscam avaliar os riscos
não apenas do negócio, mas principalmente quanto à segu-
rança dos dados, verificando se houve vazamentos de infor-
mações, e também quanto à maturidade quanto ao complian-
ce às normas de Privacidade e Proteção de Dados, uma vez
que a adequação de uma empresa é um processo altamente
custoso, demorado e com grande risco.
Por esse motivo, a medição do nível de maturida-
de da empresa quanto à Privacidade e Proteção de dados é
tão importante durante o processo de aquisição, não apenas
no período de valution, mas principalmente após o dia 1 de
operações após a compra definitiva. Para aferir esse nível é
importante considerar se a empresa segue os Princípios pre-
vistos no artigo 6° da LGPD4 para todos os tratamentos de
dados pessoais.
Os princípios de Finalidade, Necessidade e Adequa-
ção são essenciais para determinar quais dados serão manti-
dos e transmitidos à empresa adquirente. É essencial nessa
etapa que haja a minimização de dados aos estritamente ne-
4
Disponível em http://www.planalto.gov.br/ccivil_03/_ato2015-
2018/2018/lei/l13709.htm.
632
cessários, principalmente para viabilizar a base legal do Legí-

timo Interesse que é muito utilizada para o compartilhamento
de dados no processo de compra de empresas.
Também é nesta etapa que se identificam os dados
que devem ser eliminados pela política de retenção de da-
dos e que serão expurgados durante a liquidação da empresa
adquirida, seja de bases internas ou de terceiros. Quando o
dado estiver em posse de terceiro (fornecedor), deve-se ter
previsão expressa no Distrato contratual que obrigue a elimi-
nação dos dados e a responsabilidade do fornecedor em caso
de descumprimento.
A área de Privacidade e jurídica devem trabalhar jun-
tas para coletar as evidências necessárias do expurgo para fins
de prestação de contas e evitar quaisquer incidentes que en-
volvam dados pessoais da empresa que foi incorporada ainda
que dados antigos.
Os princípios de Transparência, Acesso, Qualidade
de Dados deverão ser tratados diretamente na interação da
empresa adquirida e adquirente perante o titular dos dados
pessoais, seja ele cliente, colaborador, fornecedor, acio-
nista ou qualquer outro terceiro, ainda que seja apenas um
visitante ou um candidato que se cadastrou uma única vez
para fins de visitação.
Essa etapa só poderá ser realizada adequadamente se
a etapa anterior tiver sido feita com sucesso, pois ao se dar
transparência e acesso aos dados, o titular poderá questionar
se a ação de compartilhamento e tratamento dos dados duran-
te a aquisição foi necessária e adequada às finalidades.
Rogerio Soler Júnior, no artigo “Primeiras Refle-
xões sobre os Impactos da Lei Geral de Proteção de Dados
633
(LGPD) em Operações de Fusão e Aquisição (M&A) no

Brasil”, comenta o seguinte4:
“Como forma de atendimento ao princípio
da transparência, é recomendável que as po-
líticas de privacidade da empresa-alvo, di-
vulgadas aos titulares, bem como os termos
de consentimento específicos firmados pelos
titulares (quando o consentimento for a base
de tratamento) prevejam a possibilidade de
compartilhamento dos dados com terceiros
para fins de avaliação do interesse na aqui-
sição da empresa controladora (dos dados).
Trata-se de uma possibilidade de conciliação
entre a transparência necessária aos titulares
e a preservação da confidencialidade – ou do
“segredo comercial” – sobre o interesse da
empresa em envolver-se em uma operação
de M&A.”
Para se gerar a transparência, é importante a publica-

ção e comunicação da compra da empresa em jornais e mí-
dias de grande circulação para tornar pública a informação
da empresa que será a nova controladora e responsável pela
gestão dos dados. Para tanto, recomendamos que seja criada
uma Landing Page para gerar a transparência sobre o trata-
mento de dados pessoais durante o processo de aquisição a
partir dos seguintes titulares:
4
Junior, Rogério Soler. Primeiras Reflexões sobre os Impactos da Lei
Geral de Proteção de Dados (LGPD) em Operações de Fusão e Aqui-
sição (M&A) no Brasil. Disponível em https://itsrio.org/wp-content/
uploads/2021/03/Rogerio-Soler-Junior_Primeiras-Reflexoes-sobre-os-
-Impactos-da-Lei-Geral-de-Protecao-de-Dados-LGPD-em-Operacoes-
-de-Fusao-e-Aquisicao-MeA-no-Brasil-.pdf
634
a) Acionistas
É importante que haja comunicado aos acionistas da
empresa adquirida, fornecendo as informações sobre quais
serão os novos passos, empresas que tratarão os dados, quais
dados e canais estarão disponíveis para tirar dúvidas. Esse
comunicado pode ser enviado diretamente ao acionista por
e-mail e também pode ser publicado no site de Relação com
Investidores das empresas envolvidas;
b) Colaboradores
É essencial que haja a criação de um Aviso de
Privacidade, o qual pode ser adicionado em algum termo no
Onboarding ou junto ao Aditivo Contratual do colaborador
incorporado. Nesse documento, deve-se informar quais da-
dos serão transferidos para a nova empresa e quais canais que
o RH poderá ser contactado e onde ele poderá acessar e rea-
lizar qualquer alteração ou correção de seus dados pessoais.
Devido à sensibilidade de dados de colaboradores, de-
ve-se realizar as devidas avaliações e relatórios de Impacto à
privacidade sobre todos os compartilhamentos de dados de co-
laboradores ativos e inativos e de dados sistêmicos ou físicos
(prontuários de colaboradores, contratos, etc). Para mitigar o
risco de perdas de informações e documentos durante a trans-
ferência e facilitar a governança, é fortemente recomendável
a digitalização de todos os dados físicos e não estruturados.
c) Fornecedores
O mapeamento de dados pessoais da empresa adqui-
rida poderá ajudar a identificar quais são os tratamentos que
envolvem dados de terceiros fornecedores e também quais
empresas terceiras que possuem acesso aos dados pessoais
para que executem a eliminação de dados. Ademais, deve-
635
-se dar transparência sobre o compartilhamento de dados de

fornecedores, especialmente quando esses forem terceiri-
zados e continuarão a prestar os serviços após a aquisição.
d) Clientes
Embora a compra possa ser veiculada em vários canais
públicos, é importante estabelecer uma comunicação que diferen-
cie as finalidades para os tratamentos de dados de consumidores.
Primeiramente, deve-se atualizar a Política de Priva-
cidade das empresas, comunicar os titulares sobre a incorpo-
ração e dar transparência sobre os próximos passos em rela-
ção aos dados pessoais. Uma landing page ou FAQ podem
facilitar a comunicação e ser mais efetiva na transparência
aos titulares sobre quais dados serão compartilhados/elimi-
nados e sua fundamentação legal, por exemplo, para cumpri-
mento de uma obrigação legal.
Deve-se ter claro que novas finalidades, em regra,
precisarão de autorização do titular, pois fogem à expectativa.
Por esse motivo, é essencial se avaliar os pontos de coleta de
consentimento e realizar a Avaliação de Legítimo Interesse
para não acarretar um desvio de finalidade no uso dos dados
.
e) Terceiros
Visitantes, candidatos e terceiros alocados devem ser
tratados de forma singular. Dados de candidatos da empresa
antiga podem não encontrar fundamentação legal para o com-
partilhamento entre as empresas.
Durante o processo de aquisição de uma empresa, os
dados são ativos importantes não apenas para a empresa, mas
636
também para os titulares envolvidos. É essencial que uma em-

presa tome todos os cuidados para proteger os dados durante o
trânsito e compartilhamento de uma empresa para outra e as-
segurar que o tombamento desses dados seja feito de maneira
adequada e não haja perdas e danos aos dados transacionados.
Nesse sentido, a LGPD previu nos Princípios de Se-
gurança e Prevenção de que é dever da empresa assegurar
que os dados serão tratados com zelo, adotando-se medidas
técnicas e administrativas a prevenir o acesso não autorizado
e prevenir a ocorrência de danos em virtude do tratamento de
dados pessoais, seja ele acidental ou proposital.
Nesta etapa, deve-se ter cuidado com as fases de testes a
serem realizadas entre sistemas. É muito importante que se uti-
lizem dados fictícios ao invés de dados reais dentro do ambiente
de homologação (Q&A) e não em ambiente de produção. A uti-
lização de dados pessoais durante a fase de testes pode compro-
meter a qualidade dos dados e gerar vazamentos devido à falhas
e falta de segurança durante o compartilhamento.
Estudos internacionais demonstram que o compartilhamen-
to de dados entre empresas traz altos riscos de incidentes de dados
pessoais, razão pela qual este tema deve ser tratado com muito cui-
dado e atenção pelo time de Privacidade e Proteção de dados. Não
é recomendável o compartilhamento da base completa de dados em
fase de testes, e deve-se sempre subir bases de dados em camadas
para não comprometer todo o ambiente em caso de falha.
“No caso de operações de M&A, em estudo in-
ternacional realizado pela Forescout Techno-
logies, Inc, 53% dos entrevistados relataram
que sua organização encontrou problemas ou
incidentes críticos de segurança durante uma
transação, resultando em risco para o negócio.
637
O estudo também constatou que cerca de 40%

das compradoras envolvidas em uma operação
de M&A relataram problemas de segurança ci-
bernética durante a integração pós-aquisição da
empresa-alvo (o que poderia, no cenário ideal,
ter sido constatado antes da transação).”5
Para prevenir qualquer possibilidade de incidentes

cibernéticos, o time de Segurança da Informação deve estar
diretamente envolvido para mitigar qualquer risco durante o
compartilhamento de dados. Tais medidas de proteção devem
ser documentadas para o devido acompanhamento, execução
e coleta de evidências dos planos de ação endereçados.
Os princípios de não discriminação e Prestação de
contas estão vinculados à capacidade de gestão e controle não
apenas dos tratamentos de dados mapeados, mas também em
restringir o uso diverso daqueles originalmente propostos. Por
esse motivo é essencial avaliar se a empresa a ser adquirida
possui políticas internas e externas que demonstram o compro-
misso social assumido quanto ao tratamento de dados pessoais.
Além das Políticas específicas de Privacidade e Prote-
ção de Dados, é essencial que haja a participação da área den-
tro de outras políticas das áreas que efetivamente tratam da-
dos pessoais no dia a dia. As políticas devem ser factíveis de
auditorias e também a previsão de punições e consequências
para aqueles que não executarem com diligência os direcio-
namentos de proteção de dados no exercício de suas funções.
Para se ter segurança jurídica para qualquer tratamento a ser
realizado nos momentos pré, durante e após a aquisição, recomenda-
5
FACHINETTI, Aline Fuke, POGGIO, Gustavo Massaini. “Proteção de da-
dos, due diligence e novos negócios”. Portal JOTA, 06.08.2020, disponível
em https://www.jota.info/opiniao-e-analise/artigos/protecao-de-dados-due-
-diligence-enovos-negocios-06082020#_ftn2 (último acesso em 13.12.2020)
638
mos que seja feita a avaliação de Impacto à Privacidade todas as vezes

que forem encontrados novos tratamentos ou novas finalidades.
Dentro da Avaliação de Impacto à Privacidade, além
dos princípios, deve ser considerada a posição de cada em-
presa como agentes de tratamento e sua correspondente base
legal para os tratamentos. Como agentes de tratamento, é
importante a segregação de responsabilidades entre as em-
presas, adquirida e adquirente, como controlador e operador
conforme preceitua o artigo 42 da LGPD6.
A avaliação de Controlador e Operador deve ser feita
caso a caso, contendo documentos jurídicos para delimitar
os direitos e obrigações das partes durante todas as etapas
da incorporação da empresa, para que nenhuma das partes
tomem ações que venham prejudicar o negócio acordado ou
gerar alto dano financeiro ou reputacional antes da incorpo-
ração ser efetivada.
Da mesma forma, as bases legais irão assegurar que
cada tratamento e suas respectivas finalidades sejam realiza-
dos em conformidade legal, identificando inclusive os casos
em que o tratamento é abusivo e deve ser evitado diante do
alto risco de ser considerado uma prática ilegal.
Haverá casos em que terão mais de uma finalidade
e consequentemente mais de uma base legal para o mesmo
dado (uso secundário). Por exemplo, os dados cadastrados
durante a admissão serão utilizados para o E-social como
cumprimento de obrigação legal e ao mesmo tempo serem
utilizados para cumprimento de obrigações contratuais de fo-
lha de pagamento e benefícios, além de serem utilizados para
métricas internas de performance com base no Legítimo Inte-
6
Disponível em http://www.planalto.gov.br/ccivil_03/_ato2015-
2018/2018/lei/l13709.htm
639
resse. Deve-se também lembrar que a base legal de Legítimo

Interesse pressupõe a necessidade de relatório de impacto à
privacidade (RIPD / DPIA).
III. DUE DILIGENCE
A avaliação de Privacidade desde o momento inicial

de prospecção pode trazer diversos benefícios para mitigação
de custos, riscos e contribuir para a valuation correta dos ati-
vos quando envolver dados de clientes ou colaboradores.
Durante o processo de aquisição de uma empresa, de-
ve-se ter documentos jurídicos suficientes para alicerçar as
responsabilidades de cada parte, limitações de uso e compar-
tilhamento de dados e prestação de contas às autoridades e
titulares de dados. É essencial que após a aquisição e o pe-
ríodo de transição do negócio a gestão da empresa adquirida
esteja em consonância com a empresa adquirente e possam
prosseguir sem maiores riscos ao negócio de ambas as partes.
Por essa razão, a recomendação é que se tenha os
seguintes documentos jurídicos para evitar o litígio e man-
ter o compliance com a LGPD, em especial a seção III: “Da
Responsabilidade e do Ressarcimento de Danos”. Abaixo
constam alguns documentos e cláusulas de Privacidade e
Proteção de Dados pode fazer uso para resguardar as empresas
de eventuais riscos jurídicos durante a aquisição:
1. Declarações e garantias: servem para se atestar as
informações fornecidas, principalmente quanto ao ní-
vel de aderência à LGPD, à empresa adquirente du-
rante a auditoria;
640
2. Indenização: Serve para definir responsabilidades e re-

parar contingências por eventual desconformidade da
empresa-alvo em relação à LGPD ou por incidentes de
segurança derivados. Pode ser usada na fase pré, durante
e pós aquisição para os eventos posteriores à venda;
3. Período de transição: Definição de responsabilida-
des operacionais durante o período de gestão compar-
tilhada de dados para adequação da empresa-alvo à
LGPD antes ou após a aquisição, bem como atendi-
mento e prestação de contas aos titulares e autorida-
des competentes.
Após as avaliações de Impacto à Privacidade serem
realizadas, bases legais e agentes de tratamentos definidos,
riscos identificados e planos de adequação endereçados às
áreas envolvidas, inicia-se o processo de acompanhamen-
to para coleta de evidências pela área de privacidade como
meio de assegurar que os riscos foram mitigados e passíveis
de prestação de contas.
A terceira e última fase, a de liquidação da empresa
adquirida, deve-se ter a atenção especial para identificação de
riscos legados que não foram mitigados durante a aquisição,
passando pelos seguintes pontos: distrato com terceiros for-
necedores; eliminação de bases de dados antigos; coleta de
evidências de expurgos; identificação e aceitação de riscos
legados;, mapeamento de ações judiciais para manutenção de
dados nas bases; sanitização de acessos a sistemas; documen-
tação de cumprimento de determinações regulatórias (Como
CADE, Anatel, etc).
Todos esses tratamentos devem ter a devida trans-
parência aos titulares de dados, observando-se a preser-
vação do “segredo comercial” previsto na LGPD em to-
641
das as etapas da aquisição. Qualquer risco que permaneça

alto, ainda que haja planos de mitigação, devem ser le-
vados à liderança de Privacidade e Proteção de Dados e
endereçados às áreas de negócio pelo DPO, uma vez que
podem ser relevantes diante do risco de efeito na valua-
tion, multas e perdas em processos judiciais.
Afinal, como veremos a seguir, precedentes internacio-
nais, como o caso da Verizon na compra da Yahoo! e a Marriet
na compra da Stardot, demonstram que a empresa adquirente
continua se responsabilizando pelos danos das empresas ad-
quiridas ainda que estes tenham ocorrido antes da compra.
IV. PRECEDENTES INTERNACIONAIS
1. COMPRA DA YAHOO PELA VERIZON
Em 2017, a Verizon Inc. renegociou o valor de compra

da empresa Yahoo após fazer uma avaliação das consequên-
cias dos vazamentos de dados de consumidores ocorridos em
2013 e 20147. O desconto negociado com a Yahoo chegou
ao valor de 350 milhões de dólares (7% do valor original) e
alterou o preço de compra do valor de 4.8bilhões para 4.48bi-
lhões de dólares. Entre os custos levantados para motivar o
desconto, a Verizon englobou o risco reputacional da marca,
7
Disponível em https://www.bankinfosecurity.com/yahoo-takes-
-350-million-hit-in-verizon-deal-a-9736
8
Em inglês: “ Yahoo agreed to be ‘responsible for 50 percent of any cash
liabilities incurred following the closing related to non-SEC (Securities and
Exchange Commission) government investigations and third-party litiga-
642
ações judiciais e processos administrativos que a Yahoo po-

deria responder no futuro8.
Ademais, a Verizon também reavaliou os termos de

responsabilidades das partes quanto às investigações e lití-
gios de terceiros, visto que a Yahoo também falhou em não
comunicar os titulares. Embora os incidentes tenham acon-
tecido em 2013 e 2014, a Yahoo só comunicou os titulares e
autoridades no final de 2016. Pelos novos termos, a Altaba
(holding da Yahoo não vendida à Verizon) continuaria parcial-
mente responsável pelas ações judiciais e investigações ad-
ministrativas, sem impactar as demais empresas da Verizon9.
A avaliação detalhada da Yahoo pela Verizon contri-

buiu para o disclosure de um dos maiores vazamentos de dados
da internet. A Verizon optou por fazer uma reavaliação do valor
da empresa que desejava adquirir, avaliando os riscos e custos
operacionais que poderia haver no futuro, em especial even-
tuais multas do Federal Trade Comission (FTC). Em 2019, a
Yahoo fez um acordo com as autoridades americanas para pa-
gar o valor de 117.5 milhões de dólares em razão do vazamento
de dados de 3 bilhões de pessoas entre 2013 e 2016.
tion related to the breaches. Liabilities arising from shareholder lawsuits

and SEC investigations will continue to be the responsibility of Yahoo.’
Given that Verizon is acquiring Yahoo, it’s not spelled out how Yahoo will
account for this liability. We have confirmed that any further liability will
come out of Altaba, the new brand of the remaining part of Yahoo that
represents its shareholding in Alibaba, which is not being acquired by Ve-
rizon”. Disponível em https://techcrunch.com/2017/02/21/verizon-knocks-
-350m-off-yahoo-sale-after-data-breaches-now-valued-at-4-48b/
9
Disponível em https://www.reuters.com/article/us-yahoo-m-a-verizon-i-
dUSKBN1601EK
643
2. COMPRA DA STARWOOD PELA MARRIOT

INTERNATIONAL
Em julho de 2014, a Starwood Hotels and Resor-

ts Worldwide Inc. sofreu um ataque cibernético que deixou
os seus sistemas vulneráveis. Alguns anos depois, em 2016,
a rede hoteleira Marriott incorporou a rede de hotéis da
Starwood e seus sistemas, e não realizou avaliação de vulne-
rabilidades dos sistemas incorporados.
Tal ação permitiu que a vulnerabilidade que estava nos
sistemas da Starwood, desde 2014, se expandisse para os siste-
mas da rede Marriot, expondo os dados também de clientes da
rede hoteleira. A descoberta dessa vulnerabilidade ocorreu ape-
nas em setembro de 2018. Durante todo esse período, foram
afetados aproximadamente 339 milhões de titulares de dados
do mundo inteiro em razão do vazamento de dados.
Os dados vazados incluíam dados pessoais como nome,
email, telefone, passaporte, datas de chegada e saída dos ho-
téis, visitantes, status de VIP e dados do programa de fidelida-
de. Em razão do alto volume de dados de britânicos envolvidos
(milhões), a Autoridade de Proteção de Dados do Reino Unido
(ICO) iniciou a investigação a respeito deste vazamento e cum-
primento da GDPR assim que notificada. Elizabeth Denham,
Information Commissioner, disse o seguinte:
“Os dados pessoais são preciosos e
as empresas têm de se preocupar com
eles. Milhões de dados de pessoas fo-
ram afetados pelo fracasso do Mar-
riott; milhares contactaram uma linha
de ajuda e outros podem ter tido de
tomar medidas para proteger os seus
dados pessoais porque a empresa em
que confiaram não o tinha feito.
644
Quando uma empresa não cuida dos

dados dos clientes, o impacto não é
apenas uma possível multa, o que
mais importa é o público cujos dados
tinham o dever de proteger.”10
Em outubro de 2020, a Marriott foi condenada ao pa-

gamento de 18.4 milhões de libras, valor muito menor aos
milhões de 99.2 milhões de libras propostos inicialmente em
2019. A redução se deu pelas ações mitigadoras tomada pela
rede Marriott, poder econômico (impactado pelo COVID-19)
e também pelo fato de que a GDPR havia entrado em vigor
apenas em 25 de maio, a condenação da ICO analisou apenas
o período de maio a setembro de 2018 e não os quatro anos
que perduraram o incidente. Abaixo, segue a linha do tempo11
desde de o incidente até a multa pela ICO:
a. DECISÃO DA ICO
Como principais tópicos abordados durante a decisão,
o escritório Clifford Chance12 salientou os seguintes pontos:
10
Em inglês: ”Personal data is precious and businesses have to look after it.
Millions of people’s data was affected by Marriott’s failure; thousands contacted
a helpline and others may have had to take action to protect their personal data be-
cause the company they trusted it with had not. When a business fails to look after
customers’ data, the impact is not just a possible fine, what matters most is the
public whose data they had a duty to protect.” Disponível em https://ico.org.uk/
about-the-ico/news-and-events/news-and-blogs/2020/10/ico-fines-marriott-in-
ternational-inc-184million-for-failing-to-keep-customers-personal-data-secure/
11
Disponível em https://www.cliffordchance.com/content/dam/cliffordchance/
briefings/2020/11/UK-Information-Commissioner-Marriott-GDPR-penalty.pdf
12
Disponível em https://www.cliffordchance.com/content/dam/clifford-
chance/briefings/2020/11/UK-Information-Commissioner-Marriott-G-
DPR-penalty.pdf
645
- Volume: O cálculo do volume de dados disponibili-

zados se faz importante para as demais medidas regulamen-
tares em acordo com a GDPR.
- Due Diligence: Como a aquisição se deu antes da
entrada da GDPR em vigor, não houve análise do período de
compra. Entretanto, a ICO entendeu que as ações de due dili-
gence tomadas pela rede Marriott foram insuficientes. Embora
nem todos os eventos possam ser previstos antes da compra, há
no mínimo a expectativa de se avaliar o negócio e a segurança
dos dados no momento pré-avaliação, onde se pode ter uma
visão mais aprofundada sobre os valores e maturidade da em-
presa para eventuais custos de adequação regulatória. A ICO
também informou que a Due Diligence não pode ser limitada a
um período de tempo e a rede Marriott falhou em não perceber
que os sistemas da Starwood estavam comprometidos por anos
e também não estavam adequados à GDPR.
- Período de notificação às Autoridades: Segundo o
artigo 33 da GDPR, há o prazo de 72 horas para a notifica-
ção das autoridades em caso de incidente cibernético. Neste
ponto, a ICO não penalizou a Mariott pelo atraso, pois enten-
deu que a rede hoteleira tomou as providências corretas assim
que teve certeza do incidente com dados pessoais. Segundo a
ICO, basta o controlador concluir uma provável violação de
dados pessoais para este ter o dever de notificar.
- Notificação aos titulares: A ICO considerou sufi-
cientes as medidas tomadas pela Marriott para notificar os
titulares e cumprir o artigo 34 da GDPR.
- Terceiros: A Marriott pediu a responsabilização da
consultoria Accenture que havia sido contratada para ajudar
na segurança e gestão da rede Starwood. Entretanto, a ICO
esclareceu que embora entenda o papel da Accenture, isso
646
não reduz a responsabilidade da Marriott quanto ao vazamen-

to de dados ocorrido.
- Falhas de Segurança da Informação: A ICO identifi-
cou quatro grandes falhas que permitiram o ataque: ausência
de controle de acesso, de monitoramento de bases de dados,
insuficientes controles de sistemas críticos e falta de cripto-
grafia nos dados. A Marriott, após o incidente, investiu con-
sideravelmente em segurança da informação, o que fez a sua
multa ser reduzida posteriormente.
- Normas e Frameworks internacionais: A ICO ava-
liou a adesão das empresas envolvidas às normas interna-
cionais (artigo 32 da GDPR), tais como o National Cyber
Security Centre (NCSC) e o Instituto Nacional de Normas
e Tecnologia (NIST). A Marriott embora utilizasse normas
do PCI – DSS para os sistemas de pagamento, falhou em
não observar proteção semelhante aos dados pessoais que
detinha, dessa forma a ICO não reduziu a responsabilidade
da Marriott nesse ponto.
V. CONCLUSÃO
Diante do exposto, percebe-se que empresas que fi-

zeram a avaliação de maturidade de privacidade e proteção
de dados, bem como segurança da Informação em fase pré
aquisição e oferta de empresa, obtém maiores chances de mi-
tigação de riscos, negociação de valores e melhor valuation,
uma vez que dados também são ativos importantes quando
se trata de venda direta ao consumidor final. Nessa fase, de-
ve-se avaliar os custos de adequação, quais dados poderão
ser aproveitados pela empresa adquirente e o impacto entre
647
os sistemas e segurança da informação envolvidos na transa-

ção dos dados. O caso da compra da Yahoo pela Altaba é um
exemplo de como a valuation do negócio pode ser impactado
pela matéria de proteção de dados.
Empresas que não fazem essa avaliação inicial, terão
visibilidade dos custos de adequação apenas durante o pro-
cesso de aquisição e podem trazer riscos significativos inclu-
sive para os seus dados internos, como ocorreu na compra
dos hotéis Starwood pela rede hoteleira Marriot.
Portanto, considera-se crucial que o time de Privacida-
de e Proteção de Dados e também de Segurança da Informação
sejam incluídos como áreas cross para avaliação em momento
inicial de aquisição, para avaliação de todos os sistemas, pre-
vendo meios de mitigar riscos de incidentes e vulnerabilidades
que possam prejudicar tanto a valuation da negociação, quanto
a exposição de sistemas e bases de dados envolvidos.
Tais ações podem se mostrar efetivas para mi-
tigar riscos de multas e danos à imagem e reputação
da empresa diante de um possível incidente que envol-
va dados pessoais, sejam esses de clientes, colaborado-
res, fornecedores ou qualquer outro terceiro envolvido.
VI. REFERÊNCIAS
ATHAVALEY, Anjali, SHEPARDSON, David. “Verizon, Yahoo

agree to lowered $4.48 billion deal following cyber attacks”.
Disponível em: <https://www.reuters.com/article/us-yahoo-m-
-a-verizon-idUSKBN1601EK> Acesso em: 27 jul. 2022.
648
CZARNECKI, Marcin. “Privacy in M&A transactions The

playbook”. Disponível em https://iapp.org/media/pdf/resour-
ce_center/prosus_privacy_in_ma_transcations_playbook.pdf
FACHINETTI, Aline Fuke, POGGIO, Gustavo Massaini.
“Proteção de dados, due diligence e novos negócios”. Por-
tal JOTA, 06.08.2020, disponível em <https://www.jota.info/
opiniao-e-analise/artigos/protecao-de-dados-due-diligence-
-enovos-negocios-06082020#_ftn2> Acesso em: 03 jul. 2022
GOV.br. “ANPD e CADE assinam Acordo de Coopera-
ção Técnica”. Disponível em: <https://www.gov.br/cade/
acl_users/credentials_cookie_auth/require_login?came_
from=https%3A//www.gov.br/cade/pt-br/assuntos/noti-
cias/cade-e-anpd-assinam-acordo-de-cooperacao-na-pro-
xima-quarta-feira-02-06> Acesso em: 27 jul. 2022.
ICO. “ICO fines Marriott International Inc £18.4million for
failing to keep customers’ personal data secure”. Disponí-
vel em: <https://ico.org.uk/about-the-ico/news-and-events/
news-and-blogs/2020/10/ico-fines-marriott-international-in-
c-184million-for-failing-to-keep-customers-personal-data-
-secure/> Acesso em: 27 jul. 2022.
JUNIOR, Rogério Soler. Primeiras Reflexões sobre os Impac-
tos da Lei Geral de Proteção de Dados (LGPD) em Operações
de Fusão e Aquisição (M&A) no Brasil. Disponível em <https://
itsrio.org/wp-content/uploads/2021/03/Rogerio-Soler-Junior_
Primeiras-Reflexoes-sobre-os-Impactos-da-Lei-Geral-de-Pro-
tecao-de-Dados-LGPD-em-Operacoes-de-Fusao-e-Aquisicao-
-MeA-no-Brasil-.pdf> Acesso em 27 jul. 2022.
KIRK, Jeremy. “Yahoo Takes $350 Million Hit in Verizon Deal”.
Disponível em <https://www.bankinfosecurity.com/yahoo-takes-
-350-million-hit-in-verizon-deal-a-9736> Acesso em: 27 jul. 2022.
649
KNOWLES, Alice, SISTO, Alex. “UK INFORMATION

COMMISSIONER IMPOSES SECOND SIGNIFICANTLY
REDUCED GDPR PENALTY”. Disponível em <https://
www.cliffordchance.com/content/dam/cliffordchance/brie-
fings/2020/11/UK-Information-Commissioner-Marriott-G-
DPR-penalty.pdf> Acesso em: 27 jul. 2022.
Lei Geral de Proteção de Dados de Pessoais. Disponível em
lei/l13709.htm> Acesso em: 27 jul. 2022.
LUNDEN, Ingrid. “ICO fines Marriott International Inc
£18.4million for failing to keep customers’ personal data se-
cure” Disponível em <https://techcrunch.com/2017/02/21/
verizon-knocks-350m-off-yahoo-sale-after-data-breaches-
-now-valued-at-4-48b/> Acesso em 27 jul 2022.
“Minuta ACORDO DE COOPERAÇÃO TÉCNICA EN-
TRE CONSELHO DE DEFESA ECONÔMICA - CADE E
A AGÊNCIA NACIONAL DE PROTEÇÃO DE DADOS
- ANPD, PARA O APERFEIÇOAMENTO DAS AÇÕES
VOLTADAS À DEFESA, FOMENTO E DISSEMINAÇÃO
DA CONCORRÊNCIA NO ÂMBITO DOS SERVIÇOS DE
PROTEÇÃO DE DADOS.”. Disponível em: <https://sei.cade.
gov.br/sei/modulos/pesquisa/md_pesq_documento_consul-
ta_externa.php?DZ2uWeaYicbuRZEFhBt-n3BfPLlu9u7ak-
QAh8mpB9yNx7shC9BfDk4D4TJF17nUmxY6uYhEY5nx-
V3mxNh4Pbb-ePzOV6AFcXksLgW07c7DBh5z7rklFJV-S-
gU3_RdbKZ> Acesso em: 27 jul. 2022.
650
A PORTABILIDADE DE DADOS DA LGPD EM

ANÁLISE À LUZ DO DIREITO CONCORRENCIAL
Prof. Ms. Thomas Kefas de Souza Dantas1
I. INTRODUÇÃO
Após a edição da Lei Geral de Proteção de Dados Pes-

soais – LGPD – muito se fala em proteção de dados no meio
jurídico, nas empresas, no mercado, na mídia, etc. Tão grande
a sua importância que recentemente ela tonou-se, de forma
tácita, um direito constitucional fundamental, após inserção
do inciso LXXIX no Artigo 5º da Constituição Federal de
1988 pela Emenda Constitucional nº 115, de 2022.
Mas a proteção de dados pessoais não surge com a
LGPD, não pode-se olvidar de todo o arcabouço de proteção
de dados anterior a 2018, como por exemplo no Marco Civil
da Internet, ou mesmo, analisando uma norma aplicável às
relações de mercado, no Código de Defesa do Consumidor.
O que fez da LGPD um marco legal tão importante é
a conjuntura político-econômica e o momento histórico em
que ela surge. A referida lei toma forma a partir de uma série
de fatos jurídicos de danos causados pelo tratamento indis-
1
Doutorando em Direito Comercial pela USP-SP; Mestre em Direito Constitucio-
nal e Graduado em Direito pela UFRN; Coordenador do Curso de Direito das Fa-
culdades Integradas “Campos Salles”. Pesquisador em Direito da Propriedade In-
telectual na IPGN pelo PRH36 ANP/MCTI (2010-2014), Membro do Grupo de
Pesquisa em Direito Civil da Sociedade em Rede da Faculdade de Direito da USP
(2020-Atual) e do Grupo de Estudos em Direito e Desenvolvimento da UFRN
(2012-Atual). Professor de Direito. Palestrante. Articulista. Parecerista.
651
criminado de dados pessoais por empresas, escândalos polí-

ticos que demonstram o poder de usar dados para direcionar
e potencializar os posicionamentos políticos de indivíduos
na sociedade e, consequentemente, influenciar o resultado de
eleições, capacidade de processamento das máquinas e o uso
de softwares baseados em técnicas de Inteligência Artificial,
capacidade de influenciar setores de mercado para criação de
carteis por via de algoritmos de análise de comportamento de
usuários e preços de concorrentes, etc.
Eventos como esses culminaram com a criação de um
Regulamento Europeu para a proteção dos dados de seus ci-
dadãos na busca por moralizar o uso desse “novo” ativo da
era da informação, algo tão valioso como outrora foram os
hidrocarbonetos, mas, ao contrário destes, com característi-
cas de infinitude não compatíveis com o mercado.
Os dados pessoais passam a ser utilizados para ma-
ximizar os lucros das empresas de uma forma que nunca se
experimentou antes na história da humanidade, com uma me-
lhoria incremental na eficiência da publicidade, num primeiro
momento. Posteriormente, se tornou um meio de influenciar
comportamentos de consumo, opiniões políticas, comporta-
mentos sociais, e que tem total capacidade para tornar-se uma
ferramenta extremamente eficaz de controle da sociedade.
O Regulamento Geral de Proteção de Dados Pessoais
– doravante citado por sua sigla em inglês, GDPR – foi criado
pela União Europeia para moralizar e dar segurança jurídica
e social ao tratamento de dados de Cidadãos Europeus, mas
não apenas por empresas sediadas em território europeu. A
GDPR trouxe consigo um componente de extensão extrater-
ritorial que conseguiu alcançar até mesmo empresas localiza-
das em territórios diversos do globo que queiram ter o povo
da Europa como mercado de relevância para seus negócios,
652
ou que tenham europeus como usuários com dados a serem

tratados. Além disso, apresenta o componente de compliance
político que, por meio da pressão econômica, inicia uma saga
de unificar as legislações alienígenas sob pena do não reco-
nhecimento do país como adequado para realizar operações
que envolvam dados de europeus.
Estabelecida a necessidade da justificativa econômi-
ca da proteção ao tratamento de dados pessoais, quer seja
no Brasil ou no mundo, prosseguiremos para o objetivo do
presente capítulo de analisar os impactos concorrenciais da
LGPD no mercado e no uso de dados pelas empresas.
Para atingir tal objetivo, debruçar-se-á numa aná-
lise dos dados pessoais como um ativo no mercado, di-
ferenciando-os das informações obtidas pelas empresas a
partir do seu tratamento, e será mostrado os impactos do
tratamento no comportamento e análise jurídica clássica
do fenômeno econômico.
Após isso, será visto como os dados se comportam
dentro do mercado em uma análise comparativa do antes e
depois da LGPD, com objetivo de se estabelecer meios para
se coibir a deslealdade concorrencial potencial. E por fim,
analisar formas de se estabelecer uma relação isonômica de
acesso aos dados pessoais.
Destaca-se aqui que o presente trabalho não tem o
condão de se posicionar de forma contrária ao tratamento de
dados estabelecidos pela LGPD, apenas apresentar os dados
obtidos pela análise teórico-empírica realizada à luz do direi-
to concorrencial em torno da LGPD e tendo a economia de
dados como objeto.
653
II. DADOS PESSOAIS, INFORMAÇÃO E MERCADO
Compreender a relação entre dados pessoais e mercado

é importante para que tenhamos a dimensão do impacto da eco-
nomia dos dados na sociedade atual e na economia em geral.
Ao tratar-se aqui de mercado, deve-se ter claro que a con-
cepção que se busca é a da sua dimensão abstrata, da sua concep-
ção de relação de oferta e demanda de bens, serviços e capital2.
Em nossa economia de mercado, baseada no sistema
capitalista, o emprego dos recursos produtivos é orientado
pelo o mercado, que irá ser responsável pela alocação de tais
recursos3, de modo a se maximizar os ganhos, gerar renda e
empregos na sociedade. Contudo, temos algumas considera-
ções a fazer ao transferir tais concepções teóricas clássicas
para a economia da informação.
O primeiro ponto é entender que os players do mer-
cado podem e irão interferir dentro do sistema, assim como o
próprio direito, as instituições de fiscalização e implementa-
ção das leis, as intervenções do Estado nas esferas econômi-
cas dos indivíduos, descartando aqui, de fato, a possibilidade
de um ponto de equilíbrio dos preços em sua concepção de
máxima eficiência econômica.
Outro ponto é a natureza dos dados e sua incompa-
tibilidade em relação ao mercado baseado na escassez, e a
forma de valoração desses dados baseado na qualidade do
tratamento, capacidade tecnológica e forma de tratamento,
onde a LGPD irá interferir diretamente.
2
BRUNA, Sérgio Varella. O poder econômico e a conceituação do abuso
em seu exercício. São Paulo: Revista dos Tribunais, 2001. p. 74.
3
Ibidem. p. 74.
654
O mercado de dados nasce a partir de empresas do

setor tecnológico, os usuários se cadastram e informam seus
dados. As empresas perceberam que poderiam utilizar essas
informações para fornecer um serviço muito mais eficiente
de anúncios, a partir de uma análise simples de interesses dos
usuários, que com o tempo foi se tornando muito mais deta-
lhada e aprofundada, e esse potencial se converte em valores
para a empresa que detém tais informações, principalmente
para aquela que possui um sistema com maior eficiência em
processamento de dados.
Percebe-se que quanto maior a quantidade de usuários
mais atrativa a empresa será para seus anunciantes, mas tam-
bém maior será a capacidade de cruzamento de informações e
padronagem de perfis de usuários, tornando o conteúdo mais
assertivo dentro do padrão de consumo de informações do
usuário, e tudo isso em um cenário sem regulação suficiente
para impedir condutas indesejáveis na sociedade.
Em um mercado hoje, já consolidado, no qual empre-
sas possuem informações sobre os usuários em um volume
absurdo, e possuem um volume de usuários que perpassam
por quase que a totalidade de pessoas do país, e com um nú-
mero crescente de pessoas acessando a internet, e tornando-se
usuárias desses sistemas de informação, temos um mercado
em que conseguir usuários suficientes para ser atrativo é uma
das principais barreiras de entrada4.
4
Para Joe S. Bain o conceito de barreiras à entrada mede a extensão em
que as empresas já presentes no mercado possam, no longo prazo, elevar
seus preços de venda acima dos custos médios mínimos de produção e
distribuição. Já George J. Stigler entende que as barreiras de entrada carac-
terizam-se como sendo os custos que devam ser suportados pelos novos
concorrentes mas que não tenham onerado aqueles que anteriormente in-
gressaram no mercado. [...] Portanto, o conceito de Stigler, porque tem em
vista aspectos de eficiência Econômica é de extrema utilidade da análise
655
Estas barreiras, entretanto, podem ser, em tese facilmen-

te superadas, visto que a natureza infinita dos dados permite que
o mesmo dado possa ser utilizado por mais de um player, ao
mesmo tempo, bastando o usuário se cadastrar em múltiplas pla-
taformas. Mas perceba que isso ocorre em tese, somente.
O comportamento dos usuários é sempre o de buscar
o melhor benefício (dado que o custo é o mesmo – informa-
ções pessoais para serem tratadas e ter seu consumo influen-
ciado por quem os trata), então, uma empresa que detenha um
sistema que perfile o usuário de uma maneira mais condizen-
te com a realidade também é capaz de aperfeiçoar sempre seu
sistema de modo a ofertar ao usuário uma experiência que,
para seu perfil, seja a mais completa, permanecendo o usuário
“fidelizado” pelos supostos benefícios personalizados.
O custo de mudança seria outro problema. Uma vez
que as maiores detentoras de dados pessoais da atualidade pos-
suem sistemas de compartilhamento de perfis com toda uma
cadeia de outros sistemas menores, o custo de mudança para
o usuário torna-se efetivamente maior. Veja um exemplo: um
usuário de uma plataforma da empresa X, uma rede social, que
possui uma série de contratos de compartilhamento de dados
de acesso com outros subsistemas, como hospitais, serviços de
streaming de vídeo e música, laboratórios, shoppings, sites de
compra, serviços de pagamento, serviços de entregas, etc, onde
um único login, na rede social, permite que ele faça acesso a
uma gama de outros serviços nos quais possui cadastro.
Do ponto de vista da rede social X, perceber quais os
serviços utilizados por este usuário permite não só que ela
econômica. Entretanto, é o conceito de Bain que vem prevalecendo, nos
Estados Unidades, na análise antitruste, tendo sido adotado pelos Mergers
Guidelines de 1992, editados pela Divisão Antitruste do Departamento de
Justiça norte-americano e pela Federal Trade Comission. BRUNA, Sérgio
Varella. O poder econômico e a conceituação do abuso em seu exercí-
cio. São Paulo: Revista dos Tribunais, 2001. p. 58.
656
mantenha elevado o grau de necessidade e utilização dele,

mas também possa perceber uma série de serviços potencial-
mente consumíveis por aqueles que detenham um perfil de
usuário semelhante aquele usuário, elevando também o custo
de transição para uma outra rede social.
Deve-se analisar os limites internos à entrada de novos
concorrentes no mercado, a partir de uma análise do quanto
é possível que um concorrente possa direcionar para outro
mercado5, mas devido a fungibilidade dos dados pessoais não
há como se mensurar a capacidade ociosa em termos de dire-
cionamento de uma substituição dos usuários.
Ao mesmo tempo que, no exemplo de uma rede social,
há proteções jurídicas (propriedade intelectual) que torna es-
casso determinado meio de solução, mas nada impede que se
estabeleça um serviço idêntico por solução diversa, o mesmo
ocorre no caso em que o uso de uma rede concorrente comece a
diminuir o tempo de uso dos usuários de uma rede estabelecida.
O nível de tratamento cada vez mais potente e a quan-
tidade de dados catalogados antes da LGPD é tão grande que
autores, como Quinelato6, demonstram que as empresas hoje
têm (e utilizam) total capacidade de mensurar o preço de re-
serva dos usuários para determinado bem ou serviço e ofertar
ao usuário um preço personalizado, podendo onerar dois con-
sumidores de forma desigual para um mesmo bem ou serviço,
sem haver diferença de custo ou outros fatores externos que
justifiquem o tratamento desigal.
A análise de dados apenas identifica em determinado cliente
um preço máximo para consumir um produto e em outro, da
5
SALOMÃO FILHO, Calixto. Direito concorrencial. 2 ed. Rio de Janei-
ro: Forense, 2021. p.221
6
QUINELATO, Pietra Daneluzzi. Preços personalizados à luz da Lei
Geral de Proteção da Dados: viabilidade econômica e juridicidade.
Indaiatuba: Foco, 2022. p.67.
657
mesma forma, contudo por um valor mais elevado, maximi-

zando o lucro da empresa.
Calixto Salomão Filho lembra que é preocupante uma barreira
de entrada estrutural, ou seja, o montante de custos irrecuperá-
veis do negócio para sua implementação, nas palavras do autor:
A existência desse tipo de barreira pode
constituir relevante obstáculo à apro-
vação de concentrações. Para isso é ne-
cessário demonstrar que a concentração
provocará acréscimo substancial do po-
der do agente econômico em relação aos
demais agentes, o que, aliado à existên-
cia de barreiras de entrada, implica pro-
babilidade concreta de dominação dos
mercados em função da concentração.7
Apesar da analise ser relativa à concentração

de empresas, mostra-se igualmente preocupante pois a
organização atual do mercado aponta a eficiência das empresas
baseada em dados de usuário para a situação monopolística.
Vislumbra-se, também, com o avanço tecnológico no
tratamento de dados, o que Calixto apresenta como “segunda
barreira artificial à entrada criada pelo comportamento dos
agentes”8 que é o alto grau de formação e fixação no gosto
dos consumidores, sendo essa barreira a própria finalidade do
tratamento de dados, por exemplo, nas redes sociais.
Poder-se-ia pensar que a solução pode ser encontrada na
possibilidade de portabilidade de dados pessoais entre plataformas
prevista na LGPD em seu Artigo 18, V, onde ler-se in verbis:
7
ro: Forense, 2021. p.226
8
Ibidem. p. 227.
658
Art. 18. O titular dos dados pessoais tem direito

a obter do controlador, em relação aos dados do
titular por ele tratados, a qualquer momento e
mediante requisição: [...] V - portabilidade dos
dados a outro fornecedor de serviço ou produ-
to, mediante requisição expressa, de acordo
com a regulamentação da autoridade nacional,
observados os segredos comercial e industrial;9
Contudo, a previsão da aplicação primária das pro-

teções aos direitos de segredos comercial e industrial deve
ser considerada nesta análise, assim, deve-se diferenciar o
dado pessoal detido pelo controlador, direito do titular, que
deve ser objeto da previsão da portabilidade do inciso V, das
informações obtidas a partir do tratamento mediante uso de
softwares, técnicas de análise utilizadas para obter um bom
perfilamento do usuário, dados da plataforma, etc.
III. NATUREZA DOS DADOS PESSOAIS
Anteriormente foi dito que a natureza dos dados pessoais

possui uma característica de infinitude, incompatível com
uma economia de escassez, permitindo que dados pessoais
possam ser utilizados por mais de um player, sem os limites
existentes nos bens de mercado.
A economia dos dados baseia-se no intangível, em
sua natureza essencial de infinitude, quanto maior o uso me-
nor será o valor, dados se multiplicam pelo uso. Diferente-
9
BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de
Dados Pessoais. Brasilia: Planalto. 2018. Disponível em: <http://www.planalto.
gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm>. Acesso em 01 jul 2022.
659
mente de um bem material, este papel no qual está impresso

este livro, ele é finito, caso você o ceda para uso de outrem,
ele deixará de está com você para o seu próprio uso, assim,
estabelece-se um valor entre o quão você o deseja e o quanto
o outro o deseja e reserva um valor para sua aquisição, caso
o valor seja compatível entre vocês, pode-se estabelecer uma
relação econômica onde ambos podem ganhar.
O seu ganho pode ser maximizado caso você tenha
duas unidades do livro, pois o valor da unidade sobressaliente
tende a ser menor para você pois, sua utilidade é mínima, do
que para outro interessado na obra. Mas se por acaso você
estiver lendo o livro em uma versão digital, livre de direitos
conexos quanto a distribuição, a transação possui um baixo
custo, e uma cópia digital da obra poderia ser enviada sem
você deixar de usar.
Um ambiente em que há uma grande oferta de dados, sem
restrições, onde todos podem fazer as mais diversas análises, sem
tempo máximo de uso, sem consentimento, sem limites, não tendo
que responder à vontade do usuário é deveras temerário.
O sistema de proteção de dados pessoais, no qual des-
taca-se a LGPD, interfere diretamente nesse ponto. Ao estabe-
lecer uma titularidade dos dados pessoais a lei interfere num
ponto de propriedade dos dados pessoais, definindo o titular
como o sujeito ao qual se refere os dados, e não aquele que os
catalogou, dessa forma, um banco de dados de usuários deixa
de ter uma titularidade única do controlador para depender de
uma serie de critérios legais (legalidade do tratamento em con-
formidade com a lei) e assumindo-se o risco da autonomia da
vontade do titular não solicitar a exclusão dos dados.
Isso causa uma possibilidade de escassez dos dados, vis-
to que para continuar com os dados os agentes de tratamento
deverão informar sobre o tratamento realizado, quais são os da-
660
dos armazenados, devendo demonstrar a necessidade do arma-

zenamento frente ao tratamento e ao serviço prestado. O titular
terá de ser sempre informado sobre o tratamento, e isso impede
tratamentos antes realizados de forma indiscriminada, limitando
e muito o poder de perfilamento dos novos tratamentos.
Assim, mesmo que uma empresa tenha os dados de
determinado usuário, catalogados antes da vigência da LGPD,
é necessário que se informe ao titular sobre o tratamento e se
estabeleça uma forma legal de tratamento em conformidade
com as bases da LGPD, seus princípios e regulamentos.
Lembra-se ainda que a proteção aos dados pessoais se
tornou expressamente direito constitucional fundamental, um
direito personalíssimo, mas não impede do tratamento legal e
aplicação no mercado, como, por exemplo, também é possí-
vel com os direitos autorais (de mesmo status)10.
Retomando o inciso V do artigo 18, a doutrina mostra
alguns pontos importantes para a presente análise, o primeiro
é a diferença entre os dados pessoais e os dados anonimizados.
Apesar de ainda carecer de uma regulação mais específica, o
legislador foi bastante enfático no fato de sua aplicabilidade
não poder ir de encontro à proteção da propriedade intelectual,
normas concorrenciais, segredo comercial ou industrial, logo,
uma vez anonimizados ou tratados, passam a gerar informa-
ções, e estas não estão sob a égide da LGPD, mas sim sob a
tutela dos outros sistemas jurídicos aqui citados11.
10
Vide: BLUM, Rita. DANTAS, Thomas. Distinção entre privacidade e
proteção de dados pessoais. In: Revista de Direito Privado. v.110. ano
22. p.29-57. São Paulo: Ed. RT, out-dez, 2021.
11
A portabilidade dos dados pessoais a que se refere o inciso V do caput
deste artigo não inclui dados que já tenham sido anonimizados pelo con-
trolador. A portabilidade dos dados do titular garante a liberdade de es-
colha do agente de tratamento dos dados e evita que agentes já existentes
no mercado possam usar da condição de detentor dos dados tratados para
acentuar barreiras de entrada, pelo aprisionamento do titular po via da
661
IV. INFORMAÇÕES E CONCORRÊNCIA
Para fins deste capítulo, definir-se-á “informação” como

o fruto do tratamento dos dados, inclusive de sua anonimização.
O inciso V do artigo 18 é claro ao determinar que a portabilidade
deve observar os segredos de comércio e indústria, assim, caso
um dado sofra processamento por via de software, por exemplo,
e tenha sido gerada uma informação a partir do input inicial, não
poderá esse dado anonimizado figurar como matéria de portabi-
lidade sob pena de fragilizar o algoritmo que o trata, ferindo o
inciso III do §1º do Artigo 3º da lei 9.60912.
A forma, a técnica de anonimização, as informações
geradas a partir dos dados tratados, todos são outputs obtidos
a partido do tratamento dos dados pessoais (inputs) devendo
então serem respeitados enquanto segredos.
Ao contrário dos dados pessoais, as informações são escas-
sas, sigilosas, de altíssimo valor de mercado, por retratarem o espí-
rito da tecnologia da empresa, não mais são de titularidade do usuá-
rio titular dos dados que a geraram. São obtidas não pela simples
análise do dado de um único sujeito, mas sim de um conjunto de
centenas de milhares, ou mesmo milhões, de sujeitos, cruzando-se
dados pessoais e outras informações que retroalimentam o sistema.
dependência de sua tecnologia. É norma que visa tanto a proteção do ti-

tular quanto dos valores da concorrência e da livre iniciativa de mercado,
previstos no art. 2º, dessa lei. Esse artigo sofreu uma mudança no que tan-
ge a sua operabilidade condicionando seu pleno funcionamento à futura
padronização a ser feita pela ANPD. DANTAS, Thomas Kefas de S. Dos
Direitos do Titular. In: CARLOTO, Selma. ALMIRÃO, Mariana (Coord.).
Lei Geral de Proteção de Dados Comentada: com enfoque nas relações
de trabalho. São Paulo: LTR, 2021.
12
BRASIL, Lei 9.609 de 19 de Fevereiro de 1998. Brasília: Planalto. 1998. Disponível
em: <http://www.planalto.gov.br/ccivil_03/leis/l9609.htm>. Acesso em 01 jul 2022.
662
O que não resta claro é o que se pode ou não fazer com

essas informações, ou se devem ser descartadas para que se tenha
um equilíbrio dentro das relações entre empresas antigas, novas
empresas e usuários, visto que, uma vez tratados os dados anterio-
res à LGPD, irão integrar a propriedade imaterial das empresas.
Os dados de informação trabalhados até a LGPD co-
locam as empresas que já processavam grandes volumes de
dados de seus usuários em posições de domínio13 no mercado.
Mas ainda assim é difícil estabelecer aquilo que prediz o art.36,
§2º da Lei 12.52914, sobre a posição dominante presumida, e
sobre a caracterização do abuso de posição dominante.
Uma empresa que consegue obter informações rele-
vantes sobre o perfil de comportamento da maioria da popu-
lação de um país, ao ponto de conseguir interferir nos resul-
tados de eleições, ou capaz de ser parceira indispensável de
qualquer sistema rápido de login em sites terceiros pelo seu
volume de usuários, pode ser condenada por abuso de poder
econômico, ou estar-se-ia punindo uma empresa por ser efi-
ciente no seu nicho de negócios? Ter tantos usuários caracte-
riza o price-squeeze15 ou seria necessário condutas positivas
da empresa para aumento dos custos de entrada ou dos rivais.
Calixto Salomão Filho apresenta alguns pontos im-
portantes pontos que apontam para possíveis soluções:
Na Constituição de 1988 a expressão “abuso do
13
BRUNA, Sérgio Varella. O poder econômico e a conceituação do abu-
so em seu exercício. São Paulo: Revista dos Tribunais, 2001. p. 108.
14
BRASIL. Lei 12.529 de 30 de novembro de 2011. Brasilia: Planalto,
2011. Disponível em: <http://www.planalto.gov.br/ccivil_03/_ato2011-
2014/2011/lei/l12529.htm>. Acesso em 01 jun 2022.
a
GABAN, Eduardo Molan. DOMINGUES, Juliana Oliveira. Direito anti-
truste. 4 ed. Sã Paulo: Saraiva. 2016. p.186.
663
poder econômico” não tem mais esse sentido.

Serve, na verdade, para introduzir os princípios
relevantes e informadores do direito concorren-
cial – daí a expressão “que tenha como conse-
quência” ter sido substituída por “que vise a”.
Fundamentais passam a ser os “atos tendentes
à dominação dos mercados e à eliminação da
concorrência”. São eles que reaparecem como
locuções centrais dos dois pilares da lei concor-
rencial brasileira: o controle das condutas (art.
36 da Lei 12.529/2011) e o controle das estru-
turas (art. 88 da Lei 12.529/2011)16.
Deve-se analisar não a consequência, mas seu potencial

danoso à garantia institucional da concorrência. Daí a necessida-
de de um modelo regulatório que pode abarcar as grandes em-
presas detentoras de dados pré LGPD, e nortear a Autoridade
Nacional de Proteção de Dados Pessoais - ANPD - no sentido de
criar-se uma regulação eficaz para os fins da própria lei.
O conceito de essentioal facility17 deve ser observado
para o caso. Observando o caso “Magill”18 onde Corte Euro-
16
ro: Forense, 2021. p.319.
17
Uma essential facility existe, portanto, diante de situações de dependência
de um agente econômico com relação a outro, nas quais a oferta de certos
produtos ou serviços não se viabilizaria sem o acesso ou o fornecimento
do essencial. A existência de bens cuja utilização é condição essencial para
a produção de outros justifica a necessidade de impor o fornecimento dos
primeiros. Note-se que a origem da noção de essential facility poderia dar a
impressão de que o conceito só tem relevância quando se está considerando
o acesso a infraestruturas bastante específicas, normalmente ligadas a uma
indústria organizada em rede. Todavia, não importa tanto o tipo de bem
ou de mercado que está sendo considerado. O relevante é a situação de de-
pendência extrema acima referida. Sob essa perspectiva, qualquer bem eco-
nômico pode, em princípio, vir a ser uma essential facility. Ibidem. p. 324.
18
EUR-LEX. Acórdão do Tribunal de 6 de Abril de 1995. Radio Telefis
Eireann (RTE) e Independent Television Publications Ltd (ITP) con-
664
peia caracterizou como abuso de posição dominante a recuso

de licenciamento de informações protegidas por direito de
autor (o mesmo direito de autor que apesar de ter um caráter
personalíssimo e fundamental, pode ser explorado economi-
camente no mercado).
V. CONCLUSÃO
Percebe-se que, ao analisar um cenário pós implementa-

ção da LGPD, os custos do tratamento com base nas hipóteses
de tratamento, ou bases de tratamento, previstas na lei, de acordo
com o conceito de Stigler, é uma barreira de entrada que, depen-
dendo da eficiência da tecnologia implementada para influenciar
as decisões do usuário torna-se quase intransponível. O mesmo
ocorre se analisarmos o potencial de elevação dos preços de ven-
da de serviços das empresas já estabelecidas (análise segundo
a teoria de Bain), pois a manutenção do usuário e os elevados
custos de migração para outra plataforma aliada a assertivida-
de das medidas de manutenção da sua necessidade pelo serviço
ofertado fazem com que haja elevadas barreiras de entrada.
A fungibilidade e infinitude dos dados pessoais tam-
bém têm impactos na aplicação das teorias clássicas de análi-
se das barreiras de entrada, e consequentemente em se estabe-
lecer o poder econômico de determinado player no mercado,
principalmente no mercado de dados no qual há uma pressão
constante de novos players, impulsionando as empresas exis-
tentes em um campo de melhoria constante, mesmo sendo um
mercado de economias de escala.
tra Comissão das Comunidades Europeias. Processos apensos C-241/91

P e C-242/91 P. European Court Reports 1995 I-00743. ECLI identifier:
ECLI:EU:C:1995:98. Disponível em: <https://eur-lex.europa.eu/legal-content/
PT/ALL/?uri=CELEX%3A61991CJ0241> Acesso em 01 jun 2022.
665
Assim, mesmo que as empresas tenham dados pes-

soais em volumes gigantescos sobre um número igualmente
gigantescos de pessoas, a análise sobre barreiras de entrada, e
mercado relevante não é clara sobre medidas que devam ser
estabelecidas ou não para enfrentar tais fatos.
No caso do exemplo dado, de uma rede social X, é
difícil se estabelecer uma situação de fato em que haja um
monopólio ilegal, visto a diversidade de serviços ofertados
pelos diversos players no mercado, e ainda em relação ao
argumento de que os dados pessoais são abundantes (infi-
nitos) podendo um usuário usar mais de um serviço e está
inserido em mais de um banco de dados ao mesmo tempo,
sem danos para si ou para a concorrência, não havendo
então uma concentração ilegal de mercado.
Contudo, deve-se deixar clara a preocupação acerca
desse mercado de dados, e do uso realizado para se obter infor-
mações dos usuários, e principalmente na interferência direta
na capacidade de escolha do sujeito titular dos dados pessoais.
Interferências diretas no processo de escolha pode-se
mostrar contrárias a liberdade do consentimento do usuário, mas
não parece que será assim o entendimento do judiciário ao aplicar
a LGPD, pois também aparenta que implementar um entendimen-
to amplo de que os algoritmos das redes estão afetando a capaci-
dade de escolha dos usuários e isto é um problema para a socieda-
de, não será um caminho trilhado pelo nosso judiciário pois isto
inviabilizaria o mercado legítimo baseado em dados pessoais.
Mas de fato há uma forte preocupação com dados
reais que demonstram esse mau uso dos dados pessoais e não
são poucos os casos que foram descobertos, inclusive um que
ataca diretamente o princípio democrático fundante do Esta-
do Democrático de Direito.
666
Resta apenas apontar a necessidade de uma preo-

cupação da ANPD sobre informações geradas a partir
dos dados coletados e tratados antes da vigência da atual
lei de proteção. Com tantas informações, empresas que
utilizaram os dados com a vigência de legislações mais
generalistas de proteção de dados pessoais possuem uma
vantagem considerável para estabelecer e fixar compor-
tamentos dos usuários que aumentem sua dependência
tecnológica e custos elevados para mudança de platafor-
mas por meio da portabilidade.
A ANPD tem em suas mãos uma necessidade de
implementar uma norma técnica que consiga suprir todas
essas deficiências de modo que se estabeleça um padrão
de inputs tecnologicamente viável para utilização cruzada
entre sistemas diversos e intensificar a fiscalização sobre
a utilização de informações para determinar padrões de
comportamento que impeçam novos players e minimizem
o problema da ausência de isonomia em termos de acesso
aos dados para serem tratados entre empresas que atuaram
no momento pré e pós LGPD.
VI. REFERÊNCIAS
BLUM, Rita. DANTAS, Thomas. Distinção entre privacidade

e proteção de dados pessoais. In: Revista de Direito Privado.
v.110. ano 22. p.29-57. São Paulo: Ed. RT, out-dez, 2021.
BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral
de Proteção de Dados Pessoais. Brasilia: Planalto. 2018. Dis-
ponível em: <http://www.planalto.gov.br/ccivil_03/_ato2015-
2018/2018/lei/l13709.htm>. Acesso em 01 jul 2022.
667
______. Lei 12.529 de 30 de novembro de 2011. Brasilia: Planal-

to, 2011. Disponível em: <http://www.planalto.gov.br/ccivil_03/_
ato2011-2014/2011/lei/l12529.htm>. Acesso em 01 jun 2022.
______, Lei 9.609 de 19 de Fevereiro de 1998. Brasília: Pla-
nalto. 1998. Disponível em: <http://www.planalto.gov.br/cci-
vil_03/leis/l9609.htm>. Acesso em 01 jul 2022.
BRUNA, Sérgio Varella. O poder econômico e a conceitua-
ção do abuso em seu exercício. São Paulo: Revista dos Tri-
bunais, 2001.
DANTAS, Thomas Kefas de S. Dos Direitos do Titular. In:
CARLOTO, Selma. ALMIRÃO, Mariana (Coord.). Lei Geral
de Proteção de Dados Comentada: com enfoque nas relações
de trabalho. São Paulo: LTR, 2021.
EUR-LEX. Acórdão do Tribunal de 6 de Abril de 1995. Radio
Telefis Eireann (RTE) e Independent Television Publications Ltd
(ITP) contra Comissão das Comunidades Europeias. Processos
apensos C-241/91 P e C-242/91 P. European Court Reports 1995
I-00743. ECLI identifier: ECLI:EU:C:1995:98. Disponível em:
<https://eur-lex.europa.eu/legal-content/PT/ALL/?uri=CELE-
X%3A61991CJ0241> Acesso em 01 jun 2022.
GABAN, Eduardo Molan. DOMINGUES, Juliana Oliveira.
Direito antitruste. 4 ed. Sã Paulo: Saraiva. 2016
QUINELATO, Pietra Daneluzzi. Preços personalizados à luz
da Lei Geral de Proteção da Dados: viabilidade econômica e
juridicidade. Indaiatuba: Foco, 2022.
SALOMÃO FILHO, Calixto. Direito concorrencial. 2 ed.
Rio de Janeiro: Forense, 2021.
668
A EFETIVIDADE DAS SANÇÕES ADMINISTRATIVAS

DA LGPD NA ADMINISTRAÇÃO PÚBLICA
Venício Dantas Cavalcanti1
I. INTRODUÇÃO
As primeiras referências ao Direito à Privacidade sur-

giram em 1890 em um famoso artigo publicado na Harward
Law Review com o título The Right to Privacy2, considerado
doutrinariamente o marco de nascimento do entendimento da
privacidade, sob a ótica de um direito do indivíduo3.
Daquele momento aos dias atuais, muitos países des-
pertaram para a importância do tema e muita coisa foi pro-
duzida, inclusive coletivamente4, das quais são exemplos: a
Declaração Universal dos Direitos Humanos (1948)5; a Con-
1
Advogado e Analista de Tecnologia da Informação, Master of Laws em
Direito Digital pela Universidade Católica de Pernambuco, MBA em Ges-
tão Empresarial pelo CEDEPE Business School, Pós-Graduado em Direito
Público pela Faculdade Maurício de Nassau, Pós-Graduado em Tecnolo-
gia da Informação pela Universidade Federal de Pernambuco.
2
WARREN, Samuel; BRENDEIS, Louis. The right to privacy. Harward
Law Review, v.4, n.5.1890.
3
MALDONADO, Viviane Nóbrega (Coord). et al. LGPD: Lei Geral de Prote-
ção de Dados comentada. 2.ed. São Paulo: Thomson Reuters Brasil,2019. p. 25.
4
MALDONADO, Viviane Nóbrega (Coord). et al. LGPD: Lei Geral de Prote-
ção de Dados comentada. 2.ed. São Paulo: Thomson Reuters Brasil,2019. p. 21.
5
“Art. 12. Ninguém será sujeito à interferência na sua vida privada, na sua família,
no seu lar ou na sua correspondência, nem a ataque à sua honra e reputação. Todo
ser humano tem direito à proteção da lei contra tais interferências ou ataques. ”
669
venção Europeia de Direitos Humanos (1953)6; a Conven-

ção 108 do Conselho da Europa (1991)7, que consolidou as
Resoluções 73/22 e 74/29 as quais estabeleceram princípios
para a proteção de informações pessoais em bancos de dados
automatizados; bem como a própria Constituição da Repúbli-
ca Federativa do Brasil, de 19888.
Paralelamente à construção de legislações protetivas
da privacidade, a tecnologia e os modelos de negócios tam-
bém seguiram evoluindo, movimento potencializado com o
advento da Internet e a chegada das plataformas digitais, de
modo que, cada vez mais, passaram a ser concebidos e base-
ados no consumo de dados, que, por sua vez ganharam status
de valor econômico. Era a chegada da economia de dados9 e
do capitalismo de vigilância10.
Sem embargo, é importante o registro de que mode-
los de negócio dependentes da tecnologia e do consumo em
massa de dados, juntamente com suas buscas incessantes por
lucros, têm, por vezes, extrapolado limites normativos e éti-
cos para atingirem os seus objetivos.
6
“Art. 81. Qualquer pessoa tem direito ao respeito da sua vida privada e
familiar, do seu domicílio e da sua correspondência. ”
7
“Art. 1º O objetivo desta convenção é garantir, no território de cada parte,
para cada indivíduo, independentemente de sua nacionalidade ou resi-
dência, o respeito por seus direitos e liberdades fundamentais, em par-
ticular, seu direito à privacidade, no que diz respeito ao processamento
automático de dados pessoais relacionados a ele. ”
8
“Art. 5º, X - são invioláveis a intimidade, a vida privada, a honra e a ima-
gem das pessoas, assegurado o direito a indenização pelo dano material ou
moral decorrente de sua violação; ”
9
VÉLIZ, Carissa. Privacidade é poder: por que e como você deveria reto-
mar o controle de seus dados. 1.ed. São Paulo: Contracorrente, 2021. p. 21.
10
ZUBOFF, Shoshana. A era do capitalismo de vigilância: a luta por um futuro
humano na nova fronteira do poder. 1.ed. Rio de Janeiro: Intrínseca, 2020. p. 18.
670
No Brasil, a Constituição Brasileira de 1988, em seu

artigo primeiro, estabeleceu os cinco fundamentos da Repúbli-
ca Federativa do Brasil, dentre os quais a dignidade da pessoa
humana e os valores sociais do trabalho e da livre iniciativa11.
Colocados em um mesmo nível no texto constitucio-
nal, estes fundamentos estabelecem de forma muito clara que
o Brasil estimula a livre iniciativa, com a qual anda de mãos
dadas o desenvolvimento tecnológico, ao mesmo tempo em
que deixa claro que ela não deve ocorrer a qualquer custo,
em detrimento da dignidade da pessoa humana. É necessário
equilibrar esta balança.
Em última análise, é para benefício da sociedade e,
portanto, da pessoa humana, que o desenvolvimento tecnoló-
gico é perseguido, e não faria sentido que esse se concretizas-
se às custas da dignidade da pessoa humana.
Este pensamento está expresso na declaração sobre o
direito ao desenvolvimento da ONU, que
“Reconhecendo que o desenvolvimento é

um processo econômico, social, cultural e
político abrangente, que visa ao constante
incremento do bem-estar de toda a popula-
ção e de todos os indivíduos com base em
sua participação ativa, livre e significativa no
desenvolvimento e na distribuição justa dos
benefícios daí resultantes;” (ONU, 1986, p.1,
grifo nosso)
11
“Art. 1º A República Federativa do Brasil, formada pela união indissolú-
vel dos Estados e Municípios e do Distrito Federal, constitui-se em Estado
Democrático de Direito e tem como fundamentos: I - a soberania; II - a
cidadania III - a dignidade da pessoa humana; IV - os valores sociais do
trabalho e da livre iniciativa; V - o pluralismo político. ”
671
em seu artigo segundo é explícita neste sentido:

“(...)
Artigo 2º
§1. A pessoa humana é o sujeito central do

desenvolvimento e deveria ser participante
ativo e beneficiário do direito ao desenvol-
vimento.” (ONU, 1986, p.2, destaque nosso)
Mas apenas em agosto de 2018, após alguns anos

de discussão e acompanhando um movimento crescente no
mundo, o Brasil sanciona sua primeira lei ordinária que tra-
ta especificamente o tema da proteção de dados pessoais,
a lei 13.709/18 – Lei Geral de Proteção de Dados Pessoais
(LGPD), alterada pela lei 13.853/19, que prorrogou a vigên-
cia de parte do seu conteúdo para 2020, e posteriormente pela
lei 14.010/2020, que por sua vez prorrogou a entrada em vigor
das chamadas sanções administrativas para agosto de 2021.
A LGPD dispõe sobre o tratamento de dados pessoais das
pessoas naturais, em qualquer meio, realizado por pessoa natural
ou jurídica de direito público ou privado, e suas normas gerais são
consideradas de interesse nacional, devendo, portanto, ser obser-
vadas pela União, Estados, Distrito Federal e Municípios12.
Em fevereiro de 2022, porém, a emenda constitucio-
nal nº 115 altera a Constituição Federal para incluir a proteção
de dados pessoais entre os direitos e garantias fundamentais
“Art. 1º Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive

12
nos meios digitais, por pessoa natural ou por pessoa jurídica de direito
público ou privado, com o objetivo de proteger os direitos fundamentais
de liberdade e de privacidade e o livre desenvolvimento da personalidade
da pessoa natural. Parágrafo único. As normas gerais contidas nesta Lei
são de interesse nacional e devem ser observadas pela União, Estados,
Distrito Federal e Municípios. ” (Destaques nossos)
672
e para fixar a competência privativa da União para legislar

sobre proteção e tratamento de dados pessoais13, competência
esta já exercida na promulgação da LGPD.
É sabido que o Estado se utiliza do Direito para regu-
lar as relações em sociedade e que é mecanismo aceito o de
estabelecer sanções àqueles que insistem em descumprir as
regras estabelecidas no seu exercício regulatório.
A LGPD traz em seu Capítulo VIII – Da Fiscaliza-
ção, a seção I que estabelece as sanções administrativas para
aqueles, pessoa física ou jurídica de direito público ou pri-
vado, incluídos a União, os Estados, o Distrito Federal e os
Municípios, que não cumprirem os ditames nela previstos.
Nesse contexto, o Estado cada vez mais utiliza-se do
consumo em massa de dados para o desempenho de suas fun-
ções, disponibilizando serviços digitais cada vez em maior
quantidade e integrando aos seus modelos de negócios par-
cerias com a iniciativa privada, por vezes representada por
grandes conglomerados internacionais, o que aumenta em
muito a responsabilidade sob os dados por ele custodiados,
quais sejam, os dados da população brasileira, nas três esferas
de governo.
13
“Art. 5º Todos são iguais perante a lei, sem distinção de qualquer natu-
reza, garantindo-se aos brasileiros e aos estrangeiros residentes no País a
inviolabilidade do direito à vida, à liberdade, à igualdade, à segurança e à
propriedade, nos termos seguintes: (...) LXXIX - é assegurado, nos termos
da lei, o direito à proteção dos dados pessoais, inclusive nos meios digitais.
( . . . )
Art. 21. Compete à União: (...) XXVI - organizar e fiscalizar a proteção e o
tratamento de dados pessoais, nos termos da lei.
(...)
Art. 22. Compete privativamente à União legislar sobre: (...) XXX - prote-
ção e tratamento de dados pessoais. ”
673
Mas o que aconteceria se os entes federativos estives-

sem realizando tratamento de dados pessoais, em desconfor-
midade com a LGPD? Será que as sanções administrativas
previstas na LGPD podem ser efetivas quando quem está de-
sobedecendo a lei é o próprio Estado? É o que analisaremos
ao longo deste artigo.
II. SANÇÕES ADMINISTRATIVAS PREVISTAS NA

LGPD
Como dito anteriormente, o Capítulo VIII, Seção I da

LGPD estabelece as sanções administrativas aplicáveis em
razão das infrações cometidas às normas nela previstas, e fixa
a competência da aplicação na autoridade nacional, verbis:
“Art. 52. Os agentes de tratamento de dados,
em razão das infrações cometidas às normas
previstas nesta Lei, ficam sujeitos às seguin-
tes sanções administrativas aplicáveis pela
autoridade nacional:
I - advertência, com indicação de prazo para

adoção de medidas corretivas;
II - multa simples, de até 2% (dois por cento)

do faturamento da pessoa jurídica de direito
privado, grupo ou conglomerado no Brasil
no seu último exercício, excluídos os tribu-
tos, limitada, no total, a R$ 50.000.000,00
(cinquenta milhões de reais) por infração;
III - multa diária, observado o limite total a

que se refere o inciso II;
IV - publicização da infração após devida-

mente apurada e confirmada a sua ocorrência;
674
V - bloqueio dos dados pessoais a que se re-

fere a infração até a sua regularização;
VI - eliminação dos dados pessoais a que se
refere a infração;
VII - (VETADO);
VIII - (VETADO);
IX - (VETADO).
X - suspensão parcial do funcionamento do

banco de dados a que se refere a infração
pelo período máximo de 6 (seis) meses, pror-
rogável por igual período, até a regularização
da atividade de tratamento pelo controlador;
XI - suspensão do exercício da atividade de

tratamento dos dados pessoais a que se refere
a infração pelo período máximo de 6 (seis)
meses, prorrogável por igual período;
XII - proibição parcial ou total do exercício

de atividades relacionadas a tratamento de
dados.” (destaques nossos)
No que diz respeito às sanções administrativas previs-

tas, importante destacarmos a diferença da natureza jurídica
das multas pecuniárias previstas nos incisos II e III do refe-
rido artigo.
Enquanto a primeira tem natureza de penalidade pe-
cuniária pelo cometimento da infração, a segunda possui na-
tureza de medida coativa de natureza patrimonial, que reper-
cute sobre a vontade do infrator, visando a forçá-lo, de forma
indireta, a cumprir a prestação determinada (TUCCI, apud
MALDONADO, 2019).
675
O inciso IV tem por objetivo atingir diretamente a repu-

tação do agente infrator, mas espera-se maior detalhamento da
medida pela ANPD, uma vez que a forma de publicização po-
derá trazer ônus adicional e caracterizar um agravante à sanção.
Nos incisos V e VI, buscou o legislador a limitação tem-
porária ou definitiva do tratamento dos dados pessoais, a exem-
plo da regulação europeia, não tendo sido feliz no uso da expres-
são “bloqueio”, uma vez que o mero armazenamento é forma de
tratamento de dados pessoais (MALDONADO, 2019).
O inciso X, ao contrário dos comentados no parágrafo
anterior, que estão restritos aos dados pessoais a que se refe-
rem a infração, incide no banco de dados. O inciso havia sido
vetado pela Presidência da República, mas o veto foi derru-
bado pelo Congresso Nacional, com a seguinte justificativa:
“A propositura legislativa, ao prever as
sanções administrativas de suspensaão
ou proibição do funcionamento/exercício
da atividade relacionada ao tratamento de
dados, gera insegurança aos responsáveis
por essas informações, bem como impos-
sibilita a utilização e tratameno de bancos
de dados essenciais a diversas atividades
privadas, a exemplo das aproveitadas pe-
las instituições financeiras, podendo acar-
retar prejuízo à estabilidade do sistemas
financeiro nacional, bem como a entes
públicos, com potencial de afetar a con-
tinuidade de serviços públcos.” (MAL-
DONADO, 2019, p.380, grifo nosso).
Já os incisos XI e XII incidem sob a atividade de tra-

tamento e também foram restabelecidos pelo Congresso Na-
cional após veto do Presidente da República com bastante
respaldo social, uma vez que devolveu à ANPD, como juiz
natural, instrumentos importantes para sua atuação como Es-
tado fiscalizador. (MALDONADO, 2019).
676
Listadas todas as sanções previstas, gostaríamos de

chamar a atenção para o seguinte raciocínio: dado o grau de
dependência do modelo de negócio do agente de tratamento
ao consumo de dados em massa, é fácil concluir que algu-
mas sanções previstas no art.52 da LGPD podem inviabilizar,
temporarariamente ou em definitivo, a própria continuidade
da atividade do agente de tratamento.
Não à toa, é grande a expectativa na regulamentação
de algumas matérias estabelecidas na Lei pela ANPD, no sen-
tido de que delimitadores compatíveis com a ordem constitu-
cional e a legislação ordinária sejam estabelecidos.
Cabe destacar também que, no mesmo artigo, o legis-
lador deixou clara a possibilidade de acumulação das pena-
lidades nele previstas com aquelas administrativas, civis ou
penais previstas no Código de Defesa do Consumidor e em
legislação específica.14
Neste sentido, por estar fora da proposta do pre-
sente artigo detalhar potenciais situações conflitivas da
aplicação de normas ao tratamento de dados pessoais, nos
limitaremos a registrar essa possibilidade e remeter o lei-
tor interessado à necessidade de aprofundar este estudo.
III. DOS CRITÉRIOS DE APLICAÇÃO DAS SANÇÕES

ADMINISTRATIVAS
Definidas as sanções administrativas e a autoridade com-

petente, a Lei estabelece os critérios de aplicação, em seu §1º:
“Art.52,§ 2º O disposto neste artigo não substitui a aplicação de sanções administrativas, civis
14
ou penais definidas na Lei nº 8.078, de 11 de setembro de 1990, e em legislação específica.”
677
“§ 1º As sanções serão aplicadas após pro-

cedimento administrativo que possibilite a
oportunidade da ampla defesa, de forma gra-
dativa, isolada ou cumulativa, de acordo com
as peculiaridades do caso concreto e consi-
derados os seguintes parâmetros e critérios:
I - a gravidade e a natureza das infrações e

dos direitos pessoais afetados;
II - a boa-fé do infrator;
III - a vantagem auferida ou pretendida pelo

infrator;
IV - a condição econômica do infrator;
V - a reincidência;
VI - o grau do dano;
VII - a cooperação do infrator;
VIII - a adoção reiterada e demonstrada de

mecanismos e procedimentos internos capa-
zes de minimizar o dano, voltados ao trata-
mento seguro e adequado de dados, em con-
sonância com o disposto no inciso II do § 2º
do art. 48 desta Lei;
IX - a adoção de política de boas práticas e

governança;
X - a pronta adoção de medidas corretivas; e
XI - a proporcionalidade entre a gravidade da

falta e a intensidade da sanção.” (destaques
nossos)
678
De início, o intérprete pode ser levado ao entendi-

mento de que alguns parâmetros e critérios de aplicação não
fariam sentido em se tratando, o infrator, do próprio Estado,
prestador de serviços públicos, como por exemplo, as hipóte-
ses previstas nos incisos III e IV do §1º.
Nos parece relevante, portanto, lembrarmos que o
conceito de serviço público considera três elementos: o sub-
jetivo, que leva em conta a pessoa jurídica prestadora da ati-
vidade; o material, que considera a própria atividade exer-
cida; e, por fim, o formal, que considera o regime jurídico,
público ou privado, sob o qual a atividade é exercida.
Da mesma forma, é basilar para o presente estudo as-
sumirmos que a própria noção de serviço público não per-
manece estática no tempo, por vezes sendo interpretada de
forma mais ampla, em outras de forma mais restrita.
No contexto atual, o Estado passou a delegar a sua
execução a particulares por meio de concessão, parcerias ou
da criação de empresas públicas ou sociedades de economia
mista com fins específicos, o que nos leva ao entendimento de
que nem todo serviço público é prestado sob o regime jurídi-
co exclusivamente público. (DI PIETRO, 2006)
Assim, podemos concluir que todos os critérios es-
tabelecidos no art. 52, §1º da LGPD estão coerentes e são
aplicáveis no contexto legislativo em que foram produzidos,
inclusive ao Estado.
Outrossim, fica clara também a busca, pelo legisla-
dor, de uma atuação mais pedagógica da ANPD, que valori-
ze a movimentação dos agentes de tratamento no sentido da
adequação à Lei e da adoção de boas práticas, bem como da
razoabilidade e proporcionalidade na aplicação das sanções.
679
IV. AS SANÇÕES ADMINISTRATIVAS E A ADMINIS-

TRAÇÃO PÚBLICA
Quando o agente de tratamento é uma entidade ou um

órgão público, a Lei traz algumas questões interessantes. O
texto do seu art. 52, § 3º tem a seguinte redação:
“§ 3º O disposto nos incisos I, IV, V, VI, X,

XI e XII do caput deste artigo poderá ser
aplicado às entidades e aos órgãos públicos,
sem prejuízo do disposto na Lei nº 8.112, de
11 de dezembro de 1990, na Lei nº 8.429, de
2 de junho de 1992, e na Lei nº 12.527, de
18 de novembro de 2011.” (destaque nosso)
O primeiro questionamento que poderia surgir seria se

o parágrafo reforça a aplicação dos incisos nele listados, sem
inibir a aplicação dos incisos II e III, que dizem respeito, res-
pectivamente, à aplicação da multa simples e da multa diária,
ou se ele estabelece, dentre os previstos na lei, aqueles que
podem ser aplicados à administração pública, considerando
desde já o fato de o inciso II ser claro quanto à natureza jurí-
dica da pessoa jurídica de direito privado, o que por si só já
exclui a administração direta da multa simples.
Embora seja uma discussão interessante e o legislador
não tenha sido feliz na técnica legislativa, polêmicas à parte15,
a dúvida não resiste a uma interpretação lógica da lei, posto
que, além dos critérios estabelecidos no inciso II para a de-
MALDONADO, Viviane Nóbrega (Coord). et al. LGPD: Lei Geral de Proteção

15
de Dados comentada. 2.ed. São Paulo: Thomson Reuters Brasil,2019. p. 389.
680
finição do valor da multa serem explícitos quanto à natureza

de direito privado da pessoa jurídica, a alternativa oferecida
pelo §4º, para o cálculo do valor da multa quando não for
possível aplicação direta dos referidos critérios, também re-
força a natureza de direito privado e a presença da atividade
empresarial, verbis:
“§ 4º No cálculo do valor da multa de que tra-
ta o inciso II do caput deste artigo, a autorida-
de nacional poderá considerar o faturamento
total da empresa ou grupo de empresas, quan-
do não dispuser do valor do faturamento no
ramo de atividade empresarial em que ocorreu
a infração, definido pela autoridade nacional,
ou quando o valor for apresentado de forma
incompleta ou não for demonstrado de forma
inequívoca e idônea.” (destaque nosso)
Em outras palavras, como o §3º é explícito ao afirmar

que a lista de incisos pode ser aplicada às entidades e órgãos
públicos, haveria uma incoerência lógica, já que não existiria
como calcular o quantum para aplicação das multas a órgãos
públicos, caso considerada essa possibilidade, o que leva à
conclusão de que apenas aquelas sanções do §3º são aplicáveis
aos órgãos e entidades da administração pública, aí incluídas as
empresas públicas e sociedades de economia mista.16
Fechado este entendimento, o segundo questionamen-
to que nos parece relevante para o presente artigo é: o quão
exequíveis são as possibilidades listadas no §3º? Para ajudar
no raciocínio, gostaria de pontuar as possibilidades.
Esse entendimento já consta do parecer do Deputado Orlando Silva,

16
como relator da Comissão Especial ao PL 4060, de 2012. (MALDONA-

DO, 2019, p.389).
681
No caso da advertência, embora a sanção em si seja de fácil

aplicação, o fato da ANPD ter que indicar prazo para a adoção de
medidas corretivas no mesmo momento da aplicação da sanção
poderá fazer com que esta não seja cumprida em sua integralida-
de. Sabemos que à exceção das entidades não dependentes de re-
cursos do tesouro nacional, que desfrutam de um pouco mais de
flexibilidade, na Administração Pública trabalha-se com previsão
orçamentária discutida no parlamento que depois de aprovada des-
dobra-se no orçamento disponível aos órgãos e entidades depen-
dentes, e que nem sempre se convertem em recursos financeiros.
Abreviando o raciocínio, se a medida corretiva exigir
disponibilidade de recursos orçamentários e financeiros e o
órgão ou entidade dependente não dispuser dos mesmos no
prazo estabelecido pela ANPD, embora possa receber nova
sanção, a infração persistirá, e só o caso concreto poderá di-
zer o quão gravoso isso poderá vir a ser.
Na sanção de publicização da infração após devida-
mente apurada e confirmada a sua ocorrência, o raciocínio é
o mesmo, a depender, como dito, da forma de publicização.
Trata-se de sanção reputacional de efeitos pedagógicos e po-
líticos, porém, sem maiores dificuldades técnicas.
No caso das sanções de bloqueio e de eliminação dos
dados pessoais a que se refere a infração, estamos diante de
limitações, temporária ou definitiva, de acesso aos dados pes-
soais pelo agente de tratamento.
Como o nosso foco aqui é a administração pública, é
importante lembrarmos que muito tem sido investido, nas três
esferas de governo, para a digitalização de serviços públicos
com a chegada do conceito de Governo Digital. Esse processo
colabora substancialmente com a melhoria na eficiência dos
serviços e gastos públicos por possibilitar, através do compar-
tilhamento de dados, uma melhor gestão das políticas públicas.
682
Cada órgão atua na sua esfera de competência, mas

o compartilhamento de dados entre eles permite inibir pa-
gamentos fraudulentos ou indevidos, ou conceder acesso a
políticas públicas fundadas em determinados requisitos. São
casos em que o modelo de negócios que está por trás da polí-
tica pública consome dados em massa para poder viabilizá-la.
É o caso, por exemplo, do acesso às universidades atra-
vés das quotas raciais; do acesso ao Fundo de Financiamento ao
Estudante do Ensino Superior – FIES; ao empréstimo consigna-
do pelos aposentados e pensionistas da Previdência Social; ao
seguro-desemprego para quem ficou desempregado e assim per-
manece; e a várias outras políticas assistenciais ou afirmativas.
É possível percebermos que, a depender do modelo de
negócios estabelecido, o bloqueio ou a eliminação dos dados
pessoais a que se refere a infração aplicado como sanção ad-
ministrativa a um determinado agente de tratamento poderá
refletir em várias outras políticas públicas ou mesmo serviços
públicos, dada a dependência do compartilhamento de dados,
prejudicando o próprio titular dos dados pessoais.
Quando as sanções são as de suspensão parcial do
funcionamento do banco de dados a que se refere a infração
e de suspensão do exercício da atividade de tratamento dos
dados pessoais a que se refere a infração, os desafios lista-
dos acima são potencializados e podem, inclusive, chegar ao
ponto de inviabilizar a prestação do próprio serviço público,
agora virtualizado, como já destacado nas razões do veto da
Presidência da República, referido anteriormente.
Além das graves consequências daí advindas, pode-
mos considerar até mesmo a hipótese de violação do prin-
cípio da continuidade dos serviços públicos, de observância
obrigatória para toda a administração pública e para particu-
683
lares que prestam serviços públicos sob regime de deleção17,

a depender do caso concreto.
Para levarmos ao extremo o raciocínio, imaginemos,
hipoteticamente, que o agente de tratamento responsável por
processar a folha de pagamento da Previdência Social recebeu
a sanção de suspensão do exercício da atividade e tratamento
dos dados pessoais por um problema no tratamento dos dados
de todos os aposentados e pensionistas. Isso impediria o pro-
cessamento da própria folha de pagamento, hoje equivalente a
mais de 25% do PIB em 500 municípios e 6,52% do PIB total.
Por esta razão, ciente do desafio, o legislador con-
dicionou a aplicação das três últimas sanções comentadas à
existência de alguns requisitos18.
V. CONCLUSÃO
A Lei Geral de Proteção de Dados constitui um

avanço para a privacidade e proteção de dados no Brasil.
Passados os quatro primeiros anos de vigência da Lei, é pos-
sível verificar a evolução no grau de maturidade do tema
17
CF/88, “Art. 175. Incumbe ao Poder Público, na forma da lei, direta-
mente ou sob regime de concessão ou permissão, sempre através de li-
citação, a prestação de serviços públicos. Parágrafo único. A lei disporá
sobre: (...) IV – a obrigação de manter serviço adequado.”
18
Art. 52, § 6º As sanções previstas nos incisos X, XI e XII do caput deste
artigo serão aplicadas: I - somente após já ter sido imposta ao menos 1
(uma) das sanções de que tratam os incisos II, III, IV, V e VI do caput
deste artigo para o mesmo caso concreto; e II - em caso de controlado-
res submetidos a outros órgãos e entidades com competências sanciona-
tórias, ouvidos esses órgãos.” (destaque nosso)
684
nos debates doutrinários, jurisprudenciais e acadêmicos,

bem como uma consolidação da estrutura da Autoridade
Nacional de Proteção de Dados, que segue trabalhando em
melhorias e regulamentações.
Dada a entrada tardia em vigor das sanções adminis-
trativas, na publicação deste artigo faz apenas um ano, muito
ainda precisará ser discutido e aprofundado em relação à sua
aplicação, particularmente quando os agentes de tratamento
são órgãos ou entidades da administração pública, ou ainda,
particulares que prestam serviços públicos sob regime de de-
leção, para maior e melhor avaliação de suas efetividades.
Como visto, os modelos de negócio, inclusive para
viabilização de políticas e serviços públicos, estes cada vez
mais virtuais, seguem incrementando as suas dependências
do consumo em massa de dados pessoais, elevando riscos
para os titulares dos dados, que precisarão ser geridos. Diante
de infrações à LGPD, é imprescindível que a ANPD tenha a
seu dispor sanções administrativas aplicáveis e com efeitos
práticos, sob pena de se tornarem letra morta e diminuirem o
seu papel de Estado-fiscalizador.
Por outro lado, as sanções não podem comprometer o
acesso da população às políticas e serviços públicos. Como
dito de início, a pessoa humana deve ser o sujeito central do
desenvolvimento e dele o principal beneficiário. Neste sen-
tido, fornecemos ao mundo jurídico as reflexões do presente
artigo com o objetivo de contribuir com o refinamento das re-
flexões e das medidas administrativas sancionadoras na pro-
teção de dados pessoais, para que tenhamos um instrumento
que colabore cada vez mais com a amplitude de aplicação da
Lei, e com uma administração pública ainda mais eficiente.
685
VI. REFERÊNCIAS
DI PIETRO, Maria Sylvia Zanella. Direito administrativo.

19.ed. São Paulo: Atlas,2006.
MALDONADO, Viviane Nóbrega (Coord). et al. LGPD:
Lei Geral de Proteção de Dados comentada. 2.ed. São Paulo:
Thomson Reuters Brasil,2019.
VÉLIZ, Carissa. A Privacidade é poder: por que e como você
deveria retomar o controle de seus dados. 1.ed. São Paulo:
Contracorrente, 2021.
ZUBOFF, Shoshana. A era do capitalismo de vigilância: a
luta por um futuro humano na nova fronteira do poder. 1.ed.
Rio de Janeiro: Intrínseca, 2020.
BRASIL. Constituição da República Federativa do Brasil.
Disponível em: http://www.planalto.gov.br/ccivil_03/consti-
tuicao/constituicaocompilado.htm. Acesso em: 20 mai. 2022.
_______, Lei nº 13.709, de 14 de agosto de 2018. Lei Ge-
ral de Proteção de Dados Pessoais (LGPD). Planalto Fede-
ral. Disponível em: <http://www.planalto.gov.br/ccivil_03/_
ato2015-2018/2018/lei/l13709.htm>, acesso em 21 mai 2021.
ONU – Organização das Nações Unidas. Declaração sobre o Direi-
to ao Desenvolvimento. Disponível em: http://pfdc.pgr.mpf.mp.br/
atuacao-e-conteudos-de-apoio/legislacao/direitos-humanos/decl_
direito_ao_desenvolvimento.pdf. Acesso em 16 dez 2020.
MARCHESINI, Lucas; SIMÃO, Edna. Benefícios pagos pelo
INSS representam mais de 25% do PIB em 500 municípios.
Disponível em: https://www.valor.com.br/brasil/4832362/
beneficios-pagos-pelo-inss-representam-mais-de-25-do-pib-
-em-500-municipios. Acesso em: 15 jan. 2021.
686
'Notas de fim'
1
Lei n.º 13.787, de 2018 – Lei do prontuário eletrônico; Lei n.º 13.846, de 2019 – Pro-
grama de Revisão de Benefícios por Incapacidade e outros programas; Lei n.º 14.063,
de 2019 – lei das assinaturas eletrônicas em interações com entes públicos; Medida
Provisória n.º 895, de 2019 – dispõe sobre o benefício do pagamento de meia-entrada
para estudantes, idosos, pessoas com deficiência e jovens comprovadamente carentes
em espetáculos artístico-culturais e esportivos; Medida Provisória n.º 964, de 2020
– compartilhamento de dados por empresas de telecomunicações com o IBGE; Lei
n.º 14.071, de 2020 – amplia o prazo de validade das habilitações de trânsito; Medida
Provisória n.º 1.039, de 2021 - institui o Auxílio Emergencial 2021 para o enfrenta-
mento da emergência de saúde pública de importância internacional decorrente do
coronavírus (covid-19); Lei n.º 14.124, de 2021 – medidas excepcionais relativas à
aquisição de vacinas e de insumos para combate ao covid-19; Lei n.º 14.129, de 2021
– Lei do Governo Digital; Lei n.º 14.172, de 2021 – Lei da garantia de acesso à inter-
net, com fins educacionais, a alunos e a professores da educação básica pública; Lei
n.º 14.195, de 2021 – lei da facilitação para abertura de empresas; Lei n.º 14.206, de
2021 – Institui o Documento Eletrônico de Transporte (DT-e); Lei Complementar
n.º 187, de 2021 – dispõe sobre a certificação das entidades beneficentes e regula os
procedimentos referentes à imunidade de contribuições à seguridade social; Lei n.º
14.289, de 2022 – lei do sigilo das pessoas com imunodeficiência e outras doenças;
Lei n.º 14.301, de 2022 - Programa de Estímulo ao Transporte por Cabotagem (BR
do Mar); Lei n.º 14.350, de 2022 – aperfeiçoamento da sistemática de operação do
Programa Universidade para Todos (Prouni); Lei n.º 14.370, de 2022 – Programa
Nacional de Prestação de Serviço Civil Voluntário e o Prêmio Portas Abertas; Lei n.º
14.382, de 2022 – Lei do Cartório Digital; e a Lei n.º 14.438, de 2022 – Programa de
Simplificação do Microcrédito Digital para Empreendedores (SIM Digital).
AUTORES
Adriana S. L. Esper Janaina Ageitos Martins de’ Carli

Aylton Gonçalves Louana Costa
Adriana Tocchet Wagatsuma Lorrane Tolentino Custódio
Ana Cristina Oliveira Mahle Maria Claudia
Ana Paula Canto de Lima Márcia Guanabara
Beatriz Haikal Marcus Vinícius Higino Maida
Carolina Chiavaloni Ferreira Buccini Milla Cerqueira
Clarissa Lima Maria Beatriz Saboya Barbosa
Daniel Becker Marina de Araújo Lopes
Dionice de Almeida Matheus Passos Silva
Daniel T. Stivelberg Nara Telles Gonçalves
Débora Leal Soares de Castro Newton de Lavra Pinto Moraes
Denielle Maria Vieira Oliveira Gil Oscar Valente Cardoso
Denis Brum Marques Paula do Amaral Ferraz Rodrigues
Edmée Maria Capovilla Leite Froz Rachel Rezende Bernardes
Eduarda Chacon Rosas Rafael da Silva Alvim
Eduardo Maroso Ramon Terroso Carneiro
Elaine Keller Ricardo Esper
Fabiani Oliveira Borges da Silva Rafael A. Carneiro de Castilho
Fernanda Mathias de Souza Garcia Susane Leone
Gabriel Lima Lins Sayuri Pacheco Hamaoka
Giovanna Sesti Lahude Talitha Dias Martins Leite
Hélio André Medeiros Batista Thomas Kefas de Souza Dantas
Isabela Abreu Venício Dantas Cavalcanti
Isadora Helena Gardés Cardoso

2022 LGPD Debates e Temas Relevantes Ana Paula Canto de Lima

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

2022 LGPD Debates e Temas Relevantes Ana Paula Canto de Lima

Enviado por

Direitos autorais:

Formatos disponíveis

Todos os direitos desta edição são reservados à Editora Império.

Direção Executiva: Eduardo Cavalcante de Almeida Costa

Direção Editorial: Ana Paula Moraes Canto de Lima

Conselho Editorial: Ana Paula Moraes Canto de Lima

Capa e Projeto Gráfico: Michael Oliveira

Relacionamento com o cliente via WhatsApp: (81) 3203-6469

Dados Internacionais de Catalogação na Publicação (CIP)

LGPD 2022 [livro eletrônico] : debates e temas

1. Direito à privacidade 2. Proteção de dados -

1. Lei Geral de Proteção de Dados : Direito à

Eliete Marques da Silva - Bibliotecária - CRB-8/9380

O sistema brasileiro de proteção de dados pessoais

relevância singular de ações educativas – aliás, como bem desta-

Fabrício da Mota Alves, em setembro de 2022.

ANA PAULA DE CANTO LIMA

EDUARDA CHACON ROSAS

Quando nos reunimos para planejar uma obra que re-

Ana Paula Canto de Lima

LGPD E A IMPLANTAÇÃO DE UMA GESTÃO DE

COOKIES E PROTEÇÃO DE DADOS SOB A

AS “DARK PATTERNS” SOB AS PERSPECTIVAS DA

“COMPLIANCE BY DESIGN”: ALINHANDO O

DIÁLOGOS ENTRE A LEI GERAL DE PROTEÇÃO DE

O DIREITO PROCEDURAL DA LEI GERAL DE

PARTICULARIDADES DOS CONDOMÍNIOS À LUZ

SOCIEDADE DIGITAL E LGPD: UM OLHAR SOBRE O

A RESPONSABILIDADE CIVIL NO TRATAMENTO DE

A RELEVÂNCIA DOS SEGUROS CIBERNÉTICOS NO

PROTEÇÃO DE DADOS: BOAS PRÁTICAS NO SETOR

AS MEDIDAS DE SEGURANÇA E AACCOUNTABILITY

MAPEAMENTO DE DADOS PESSOAIS 248

A RELEVANTE DISTINÇÃO DE DADOS PESSOAIS E

A BASE LEGAL DE EXECUÇÃO DE POLÍTICAS

A HERANÇA DIGITAL PELO MUNDO E NO BRASIL:

STARTUPS E RIPD: AVALIANDO A PRIVACIDADE EM

AUDITORIA INTERNA: UMA FUNÇÃO DO

LEI GERAL DE PROTEÇÃO DE DADOS –

A ACCOUNTABILITY DO AGENTE DE TRATAMENTO

LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS

A APLICAÇÃO DA LEI GERAL DE PROTEÇÃO DE

PROGRAMA DE CONSCIENTIZAÇÃO 423

PROTEÇÃO DE DADOS E PRIVACIDADE: UMA

QUANTIFICANDO O QUE IMPORTA: MÉTRICAS

O DEVER DE INDENIZAR POR QUEBRA DE SIGILO

O LEGÍTIMO INTERESSE NA LGPD E A VISÃO DA ANPD 508

TRANSFERÊNCIA INTERNACIONAL DE DADOS NO

TUTELA COLETIVA DE DIREITO DOS

RELATÓRIO DE IMPACTO À PROTEÇÃO DE DADOS

OS DESAFIOS NA UTILIZAÇÃO DA ANONIMIZAÇÃO

A PUBLICIDADE REGISTRAL E O RISCO RELATIVO

PRIVACIDADE E PROTEÇÃO DE DADOS EM FUSOES

A PORTABILIDADE DE DADOS DA LGPD EM

A EFETIVIDADE DAS SANÇÕES ADMINISTRATIVAS

LGPD E A IMPLANTAÇÃO DE UMA GESTÃO DE

“O futuro já chegou; só não foi ainda igualmente

Estamos passando pela maior disrupção da história e

Privacidade, entretanto, nem sempre teve a conotação

Em tão pouco tempo evoluímos bastante. Estamos

E isto se justifica, pois, em um mercado extremamente

Este estudo procura abordar a importância da nossa Lei

II. DESCARTE VELHAS REGRAS, ADOTE NOVAS

Podemos dizer que o continente europeu foi o percursor

A segurança dos dados coletados e processados é uma