3 ANOS DE VIGÊNCIA

LGPD

PROTEÇÃO DE
DADOS PESSOAIS
ACERTOS, ERROS, MITOS
E PERSPECTIVAS
RMSA 18 de setembro de 2023

@rafaelmacielsa rafaelmaciel.com.br 2
Conteúdo

I. Introdução

II. A Trajetória da LGPD: Um Olhar Retrospectivo

III. O que Deu Certo: Avanços e Conquistas

1. Conscientização.
2. Proteção de dados pessoais como direito fundamental
3. Regulamentação e/ou esclarecimentos a pontos
omissos e confusos da LGPD, pela Autoridade Nacional
de Proteção de Dados Pessoais – ANPD.

IV. O que Não Deu Certo: Desafios e Obstáculos.

1. Fiscalização tímida.
2. Adequações às pressas e frágeis.
3. Anonimização e base legada
V. Mitos e erros mais comuns
1. Uso excessivo e inadequado da hipótese legal do
consentimento.
2. Falta de compreensão sobre o fluxo de dados para
definição dos agentes de tratamentos
3. Considerar pessoa jurídica como titular de dados
pessoais.

VI. Conclusão: O futuro da proteção de dados pessoais no

Brasil.

RMSA
@rafaelmacielsa rafaelmaciel.com.br 2
QUEM SOMOS
+2O ANOS DE ATUAÇÃO
EM DIREITO DIGITAL E
PRIVACIDADE DE
DADOS
Somos especializados em Direito aplicado
à tecnologia. Referência nacional em
Direito Digital, nossa equipe tem apoiado
negócios disruptivos e empresas
tradicionais a alavancarem soluções
tecnológicas com segurança jurídica há
mais de 20 anos!

Nosso time é multidisciplinar, contando com

profissionais da área de treinamentos e
conscientização, gestão de projetos,
segurança da informação e equipe jurídica
que possui profunda especialização em
temas como criptoativos, infosec, privacidade,
remoção de conteúdo, direito autoral e outros
temas comuns ao meio digital.

Nosso propósito

Participar da criação e do desenvolvimento

de negócios tradicionais e disruptivos com
soluções inteligentes, criativas e eficientes.

Assista ao nosso
vídeo institucional

RMSA
@rafaelmacielsa rafaelmaciel.com.br 23
 INTRODUÇÃO
“Cigarro faz mal à saúde e causa
câncer!”

Hoje essa expressão não é questionada nem mesmo em

plena era da desinformação. Até fumantes sabem que o
hábito não lhes faz bem e as indústrias já aceitaram as
inúmeras regulações que lhes foram impostas.

Entretanto, há pouco tempo, falar que cigarro fazia mal à

saúde poderia gerar longas e intermináveis discussões e
muitos não conseguiam compreender a extensão de seus
riscos. As pessoas duvidavam do malefício e até havia um
certo charme em ser fumante.

“Minha vida é um livro aberto. Não me preocupo com

privacidade.”; “Nada adianta lei para proteger dados
pessoais, se todos os dados estão “no Google”; “Uso
indevido de dados pessoais não faz mal à saúde.”

Os mantras atuais são outros, mas que paulatinamente

começam a ceder diante de notícias frequentes sobre
vazamento de dados e suas consequências, que
ultrapassam as barreiras do digital e o mero dissabor.

• Hospitais hackeados que não conseguem atender os

pacientes pelo não acesso a seus prontuários;
• Hóspedes de grandes redes de hotéis sem acesso a seus
quartos;
• Redes de distribuição de energia comprometidas,
deixando milhares sem luz elétrica;

RMSA
@rafaelmacielsa rafaelmaciel.com.br 24
 Distribuição de gás natural interrompida e todo o
sistema de transporte de uma região ficou parado;
Extorsões por pornografia de vingança;
Crimes bárbaros provocados após o criminoso tomar
conhecimento indevidamente a inquérito policial
iniciado contra ele por ameaça;
Clonagem de cartões, falsificações de boletos e crimes
de estelionato eletrônico;
Democracia em risco pela desinformação;
Guerras civis e levantes populares catalisados por
manipulação em redes sociais

A LISTA DE PREJUÍZOS E CRIMES ENVOLVENDO

DADOS PESSOAIS COMO OBJETIVO OU MEIO,
INFELIZMENTE, É INTERMINÁVEL.

Hoje já se concebe o risco e leis como a LGPD já não são

novidade e, outras, até então inimagináveis, como as para
regulação das plataformas digitais tornaram-se
unanimidade (a forma e extensão é que, no Brasil, ainda é
motivo de debate) e estão na pauta do dia. O judiciário
percebeu a dificuldade de impor suas decisões judiciais ao
meio digital, seja pelo dinamismo da tecnologia ou pela
ausência de colaboração das Big Techs.

O caminho até essa percepção foi à custa de muitos danos,

porém hoje percebemos um amadurecimento das pessoas e
instituições sobre a importância da proteção da
privacidade, 5 anos depois da aprovação da LGPD e, há
exatos 3 anos do início de sua vigência.

RMSA
@rafaelmacielsa rafaelmaciel.com.br 25
 A TRAJETÓRIA DA
LGPD: UM OLHAR
RETROSPECTIVO
Em 2018, o Brasil ingressou no grupo de países com
legislação voltada à proteção de dados pessoais, claramente
inspirada no regulamento europeu que havia entrado em
vigor em maio daquele ano. Inicialmente prevista para entrar
em vigor em 16 de fevereiro de 2020, a Medida Provisória nº
869/18, todavia, estendeu esse prazo por seis meses, adiando
para setembro do mesmo ano.

Em 2020, a pandemia atuou como um fator de resistência

contra novas tentativas de adiamento, especialmente porque
o risco de uso indevido de dados pessoais crescia em
ambiente digital. Assim, a Lei Geral de Proteção de Dados
(LGPD) teve seu início de vigência sacramentado em 18 de
setembro de 2020.

Três anos atrás, o Brasil passou a ter uma lei de proteção de

dados pessoais similar à europeia, impulsionando a criação
de legislações correlatas ao redor do mundo.

Em 2023, já são mais de 134 países com legislação

abrangente nessa área, sem contar as múltiplas leis
estaduais nos Estados Unidos, país que ainda não aprovou
uma lei federal sobre o tema, mas que não hesitou em
aplicar elevadas multas às Big Techs.

RMSA
@rafaelmacielsa rafaelmaciel.com.br 26
 Desde os atrasos e resistência iniciais até sua implementação
definitiva em setembro de 2020, a LGPD enfrenta o desafio
de se concretizar em um contexto de ceticismo, algo natural
para uma população não habituada à preservação de seus
direitos fundamentais e à cultura de proteção à privacidade.
Não é que os brasileiros sejam desatentos aos seus dados,
mas uma legislação dessa magnitude ainda lhes é estranha
devido à sua novidade e complexidade.

Apesar desses obstáculos, três anos após sua entrada em

vigor, a LGPD se consolidou como um caminho sem volta,
ainda mais fortalecida em 2022 pela elevação da proteção de
dados pessoais ao status de direito fundamental, incluído
como cláusula pétrea no artigo 5º da Constituição Federal.

Assim, cabe-nos aproveitar o momento para analisar as ações

já empreendidas pelo órgão regulador, identificar os pontos
de insegurança jurídica que ainda precisam ser abordados,
desmistificar concepções errôneas ainda persistentes e, por
fim, refletir sobre o futuro da proteção de dados pessoais no
Brasil.

RMSA
@rafaelmacielsa rafaelmaciel.com.br 27
 O QUE DEU CERTO:
AVANÇOS E
CONQUISTAS
1. Conscientização

“A educação é a chave para abrir outros direitos humanos”

(Katarina Tomasevski)

Sem educação, nenhuma lei será plenamente eficaz. Por essa

razão, consideramos o aumento da consciência da população
sobre privacidade e proteção de dados pessoais como um
grande avanço e conquista. Obviamente, ainda temos um
longo caminho a percorrer. Porém, ao comparar com o início
da internet comercial nos anos 2000, quando soluções
inovadoras do Vale do Silício começaram a transformar
nossas vidas com serviços gratuitos e poucos questionavam
o modelo de negócio, não há dúvida de que houve um
grande progresso.

Ao implementar a adequação à LGPD em nossos clientes,

notamos também uma melhoria gradual no nível de
maturidade dos colaboradores. Isso ocorre através de
treinamentos regulares e, principalmente, de métodos de
microlearning em campanhas de endomarketing e pílulas de
informação ou orientação. No atendimento aos titulares,
percebemos um aumento no número de pedidos de exercício
de direitos, bem como uma melhoria na assertividade e
fundamentação desses pedidos.

RMSA
@rafaelmacielsa rafaelmaciel.com.br 28
Pela imprensa, igualmente, notamos um aumento no número
de matérias que alertam para o uso indevido de dados
pessoais. Em agosto de 2022, uma pesquisa realizada pelo
Centro Regional de Estudos para o Desenvolvimento da
Sociedade da Informação (Cetic.br) indicou que:

77% dos usuários de internet no Brasil já desinstalaram

aplicativos;
69% dos entrevistados deixaram de visitar uma página na
internet pelo mesmo motivo;
70% disseram já ter verificado a segurança de uma página
ou aplicativo;
69% recusaram permissão para uso de seus dados pessoais
em publicidade;
68% leram políticas de privacidade de uma página ou
aplicativo;
64% limitaram o acesso ao seu perfil de redes sociais;
62% restringiram o acesso à sua localização geográfica.

Mais recentemente, em julho de 2023, um levantamento

realizado pela KPMG mostrou que 72% dos entrevistados
manifestaram alto grau de preocupação com o tema de
vazamento de dados, e 76% disseram que não voltariam a
fazer negócios com uma empresa que vazasse ou usasse
indevidamente seus dados pessoais.

RMSA
@rafaelmacielsa rafaelmaciel.com.br 29
 2. Proteção de dados pessoais como direito fundamental

LXXIX - é assegurado, nos termos da lei, o direito à proteção

dos dados pessoais, inclusive nos meios digitais.

Com o aumento da conscientização pública, o legislador

atendeu à demanda da população e aprovou a inclusão da
proteção de dados pessoais como um direito fundamental,
incluído no rol do artigo 5º da Constituição Federal. Agora
com o status de cláusula pétrea, qualquer alteração desse
direito fundamental exigirá uma nova assembleia
constituinte e não estará mais sujeita às vicissitudes de
períodos específicos ou gestores políticos.

3. Regulamentação e/ou esclarecimentos a pontos

omissos e confusos da LGPD, pela Autoridade Nacional de
Proteção de Dados Pessoais – ANPD.

Considerando que na época da aprovação da lei em 2018

ainda não existia uma autoridade fiscalizadora — que só foi
criada no final daquele ano por meio de medida provisória
e, mesmo assim, sem a autonomia administrativa desejada,
já que estava vinculada à Presidência da República —,
podemos afirmar que a ANPD superou as expectativas dos
mais céticos nos três anos de vigência da lei. Essa
observação é ainda mais relevante quando notamos que a
data quase coincide com a transformação da ANPD em
autarquia especial, conferindo-lhe, assim, maior
independência.

RMSA
@rafaelmacielsa rafaelmaciel.com.br 21 0
 No seu papel de órgão regulador, editou resoluções
importantes, sem as quais a aplicação da lei restaria
comprometida, dentre as quais, destacam-se:

RESOLUÇÃO CD/ANPD Nº 1, DE 28 DE OUTUBRO DE 2021 -

Aprova o Regulamento do Processo de Fiscalização e do Processo
Administrativo Sancionador no âmbito da Autoridade Nacional de
Proteção de Dados (alterado pela RESOLUÇÃO CD/ANPD Nº 4, DE
24 DE FEVEREIRO DE 2023).
RESOLUÇÃO CD/ANPD Nº 2, DE 27 DE JANEIRO DE 2022 - Aprova
o Regulamento de aplicação da Lei nº 13.709, de 14 de agosto de
2018, Lei Geral de Proteção de Dados Pessoais (LGPD), para
agentes de tratamento de pequeno porte.
RESOLUÇÃO CD/ANPD Nº 4, DE 24 DE FEVEREIRO DE 2023 -
Aprova o Regulamento de Dosimetria e Aplicação de Sanções
Administrativas.

Em 22 de maio de 2023, a ANPD editou seu primeiro

enunciado, esclarecendo que as demais hipóteses legais dos
artigos 7º e 11º podem ser aplicadas ao tratamento de dados
pessoais de crianças e adolescentes. Esse esclarecimento
reduziu a insegurança jurídica para as empresas, já que a
redação original desses pontos na LGPD era imprecisa.

Além disso, a ANPD elaborou guias orientativos que servem

para esclarecer aspectos importantes da lei. Entre eles,
destacam-se os guias sobre agentes de tratamento e
encarregados de dados, uso de cookies, tratamento de dados
pessoais pelo poder público e uso de dados para finalidades
científicas. Esses guias incluem exemplos práticos, o que
facilita a compreensão dos conceitos pelo público em geral.

RMSA
@rafaelmacielsa rafaelmaciel.com.br 211
 O QUE NÃO DEU
CERTO: DESAFIOS E
OBSTÁCULOS
1.Fiscalização Tímida

Embora reconheçamos que a ANPD é um órgão recente e

ainda em processo de consolidação estrutural, é importante
ressaltar que ela não é a única entidade responsável pela
fiscalização da lei. Órgãos de defesa do consumidor,
Ministério Público e outras instituições também têm esse
papel. Lamentavelmente, foram poucos os casos de
fiscalização, e a ANPD emitiu apenas uma sanção a um
agente de pequeno porte, além de algumas notas técnicas
sem caráter sancionatório.

Dada a falta de estrutura, a entidade poderia orientar órgãos

regionais para desempenharem essa função de maneira mais
eficaz, ainda que inicialmente de forma pedagógica. As
empresas que investiram em adequação acabam sendo
prejudicadas pela não adequação de seus concorrentes.

RMSA
@rafaelmacielsa rafaelmaciel.com.br 212
 2. Adequações Precipitadas e Frágeis

Devido à abrangência da lei, que exige de todos os níveis

organizacionais certas adequações, houve um aumento
significativo no número de prestadores de serviços de
consultoria em LGPD. No entanto, também ocorreram muitos
equívocos e má-aplicações dos programas de governança.

Alguns desses programas foram negligenciados, como se a

mera existência de documentos fosse suficiente; outros
orientaram seus clientes de forma errônea, causando
prejuízos operacionais consideráveis ao instruírem
inadequadamente sobre o não tratamento de dados pessoais
ou ao sugerirem que a simples implementação de
mecanismos de segurança na infraestrutura de TI seria
suficiente para a conformidade com a lei. Como resultado,
algumas situações inusitadas tornaram-se frequentes,
embora tenham diminuído no último ano.

RMSA
@rafaelmacielsa rafaelmaciel.com.br 213
 3. Anonimização e base legada

Tópicos como a anonimização de dados e base de dados

legada, ainda geram uma considerável insegurança jurídica.

A lei atual é ambígua quanto aos métodos considerados

válidos para a anonimização, o que é particularmente
problemático para setores como o de desenvolvimento de
software, que requerem dados para otimização contínua de
suas plataformas.

A ANPD deve estabelecer o que constitui "esforço razoável"

neste contexto. A autoridade já abordou outras questões
complexas e deverá fornecer diretrizes claras sobre os
padrões aceitáveis em situações de fiscalização,
particularmente para determinar quais dados estão fora da
jurisdição da lei.

Art. 63. A autoridade nacional estabelecerá normas

sobre a adequação progressiva de bancos de dados
constituídos até a data de entrada em vigor desta Lei,
consideradas a complexidade das operações de
tratamento e a natureza dos dados.

De maneira similar, existe uma necessidade premente de

orientações claras sobre como gerenciar bases de dados
criadas antes da implementação da LGPD. Atualmente,
muitas empresas se encontram em um estado de incerteza,
sem clareza sobre qual fundamento legal pode ser aplicado a
esses conjuntos de dados.

RMSA
@rafaelmacielsa rafaelmaciel.com.br 214
 MITOS E ERROS
MAIS COMUNS
1. Uso Excessivo e Inadequado da Hipótese Legal do
Consentimento

O maior equívoco começou logo após o início da vigência da

LGPD, quando diversas empresas enviaram e-mails pedindo
consentimento para o tratamento de dados pessoais a suas
bases de dados já estabelecidas. Em muitos casos, teria sido
mais eficaz enviar informações que proporcionassem mais
transparência e oferecessem a opção de "opt-out".

Isso porque o consentimento foi frequentemente

interpretado como superior às outras bases legais para o
tratamento de dados. Esse erro, especialmente prevalente em
estratégias de marketing, levou a um tratamento inadequado
dos dados sem atenção aos requisitos legais de ser "livre,
informado e inequívoco". Portanto, muitas empresas
acabaram sem uma base legal adequada para o tratamento
de dados.

RMSA
@rafaelmacielsa rafaelmaciel.com.br 215
 2. Falta de Compreensão Sobre o Fluxo de Dados para
Definição dos Agentes de Tratamento

A definição de um agente de tratamento como controlador ou

operador vai além do que é simplesmente estabelecido no
contrato. A realidade fática sobrepõe-se às cláusulas
contratuais, entretanto a inclusão equivocada de itens não
aplicáveis, pode gerar conflitos a serem resolvidos
judicialmente ou em cortes arbitrais. Por isso, fundamental
submeter contratos a análise por especialistas em Direito
Digital.

Por fim, será vital que o Judiciário esteja preparado e conte

com o apoio de experts, recorrendo a instrumentos como a
perícia técnica simplificada prevista no Código de Processo
Civil.

3. Considerar Pessoa Jurídica como Titular de Dados Pessoais

Em contratos B2B, é comum encontrarmos cláusulas que
atribuem à pessoa jurídica contratante o direito de exercer
seus direitos como titular de dados pessoais. Esse é um
equívoco, uma vez que o titular de dados pessoais deve ser
uma pessoa física, não uma entidade jurídica.

Embora possa parecer um erro inocente, ele revela um

despreparo da empresa em relação ao tema e pode
representar um risco para as operações da outra parte
contratante. Mesmo que não haja compartilhamento massivo
de dados, a empresa poderá enfrentar problemas diversos,
como ser alvo de ataques cibernéticos originados a partir
dos sistemas da contratada, que se torna o ponto vulnerável

RMSA
e explorável pelo atacante.

@rafaelmacielsa rafaelmaciel.com.br 216

Conclusão

O futuro em relação à proteção de dados pessoais e à privacidade

parece, de fato, promissor. A maturidade crescente das
organizações, dos agentes públicos e dos próprios titulares de
dados é uma força propulsora para um cenário mais seguro e
regulamentado.

No que tange à legislação, a iminente aprovação do marco legal

da inteligência artificial e a regulação das plataformas digitais
são etapas cruciais. Ambas terão um impacto significativo no
regime de tratamento de dados pessoais e, muito provavelmente,
elevarão o padrão de proteção e segurança, alinhando o Brasil a
outros países que já possuem normativas mais avançadas nessa
matéria.

Um fator crucial para esse futuro promissor é a transparência, que

serve como um pilar para a construção de relações mais fortes
entre as empresas e os titulares dos dados. À medida que a
confiança é fortalecida, cresce também a exigência por parte das
empresas para que seus parceiros e fornecedores estejam em
conformidade com a LGPD. Isso gera um ciclo virtuoso: empresas
que respeitam a privacidade e protegem os dados pessoais
acabam se destacando no mercado, incentivando outras a
seguirem o mesmo caminho.

Por tudo isso, é razoável esperar um cenário de proteção à

privacidade cada vez mais robusto, abrangendo desde medidas de
segurança preventiva até a atuação efetiva e adequada por parte
dos órgãos de fiscalização e do Judiciário. A tendência é que essa
evolução continue, garantindo que as promessas feitas aos
titulares de dados em avisos de privacidade sejam efetivamente
cumpridas em todas as vertentes do negócio.

RMSA
@rafaelmacielsa rafaelmaciel.com.br 2 17
Referências

1. https://www.nic.br/noticia/na-midia/privacidade-77-dos-
brasileiros-ja-desinstalaram-apps-por-preocupacao-com-
dados-pessoais-diz-pesquisa/
2. https://tiinside.com.br/28/07/2023/brasileiros-podem-abrir-
mao-de-privacidade-em-troca-de-beneficios-diz-estudo-da-
kpmg/?
utm_source=akna&utm_medium=email&utm_campaign=TI-
INSIDE-Online-28-07-2023-19-07
3. https://assets.kpmg.com/content/dam/kpmg/br/pdf/2023/7/Qu
al-o-futuro-da-protecao-de-dados-no-Brasil.pdf
4. https://www.cnnbrasil.com.br/tudo-sobre/vazamento-de-
dados/
5. https://www.metro1.com.br/noticias/jornal-da-
metropole/140926,privacidade-a-venda-redes-de-farmacias-
usam-descontos-como-isca-para-lucrar-com-dados-de-clientes
6. https://www.gov.br/anpd/pt-br
7. https://unctad.org/page/data-protection-and-privacy-
legislation-worldwide

RMSA
@rafaelmacielsa rafaelmaciel.com.br 2 18
FIQUE POR DENTRO

Telefone e Whatsapp
(62) 3924-2996

Website
www.rafaelmaciel.com.br

E-mail
atendimento@rafaelmaciel.com.br

Sede
Rua 15, nº 1.927, Setor Marista
Goiânia - GO

RMSA
 RMSA
Sociedade de Advogados
anos

Direito Digital Privacidade Cibersegurança